Microsoft OneDrive è l’applicazione cloud più diffusa nel settore sanitario ed è anche una delle più popolari per il download di malware, secondo l’ultimo rapporto di Netskope Threat Labs per il settore sanitario. Gli operatori sanitari utilizzano in genere 22 app al mese e il 42% degli operatori sanitari utilizza OneDrive in un giorno qualsiasi. La popolarità delle applicazioni cloud le rende veicoli ideali per la distribuzione di malware e poiché OneDrive è l’applicazione cloud più comunemente utilizzata, gli attori delle minacce la sfruttano più di altre per la distribuzione di malware.

Altre applicazioni e istanze cloud comunemente utilizzate per diffondere malware sono GitHub, Outlook.com, Weebly, Azure Blob Storage, DocPlayer, Google Drive, Amazon S3, SharePoint e Zendesk. In tutti i settori industriali, SharePoint è comunemente usato per diffondere malware, ma molto meno nel settore sanitario, perché è usato con minore frequenza. Netskope ha spiegato che più spesso viene utilizzata un’applicazione cloud, più è probabile che un utente apra un file che è stato condiviso tramite quell’applicazione.

Abusando delle app cloud per distribuire malware, gli attori delle minacce possono eludere i controlli di sicurezza come gli elenchi di blocco dei domini e le soluzioni di sicurezza che non ispezionano il traffico cloud. Secondo i dati di Netskope, quasi il 40% di tutti i download di malware nel settore sanitario proviene da app cloud, rispetto al 30% del 2023.

Sebbene la diffusione di malware attraverso le app cloud sia in aumento nel settore sanitario, quest’ultimo presenta la percentuale più bassa di download di malware dal cloud rispetto agli altri settori rappresentati.

I malware più comuni

La bassa percentuale di consegne di malware tramite OneDrive rispetto ad altri settori è molto probabilmente dovuta al fatto che OneDrive viene utilizzato più diffusamente in altri settori. Il rapporto di Netskope Threat Labs si basa sui dati di utilizzo anonimizzati raccolti dalla piattaforma Netskope Security Cloud e sui rilevamenti di malware da parte del Next Generation Secure Web Gateway di Netskope, con dati raccolti tra il 1° marzo 2023 e il 27 febbraio 2024.

Le famiglie di malware più comuni utilizzate negli attacchi alle organizzazioni sanitarie sono state il Trojan di accesso remoto NjRat, la botnet Amaday e l’infostealer Azorult. NjRat consente agli attori delle minacce di registrare i tasti premuti, rubare le credenziali dai browser, accedere alla fotocamera della vittima e gestire i file. Il malware Amadey botnet può ricevere compiti da eseguire dalla botnet e raccoglie informazioni dai computer infetti e le invia al server C2. Azorult sottrae informazioni che viene utilizzato principalmente per rubare le credenziali.

Con l’aumento dell’utilizzo delle app cloud, gli attori delle minacce utilizzano sempre più spesso le app cloud per la distribuzione di malware. Netskope raccomanda alle organizzazioni sanitarie di rivedere la propria posizione di sicurezza per assicurarsi di essere adeguatamente protette contro l’invio di malware tramite le app in-the-cloud e di garantire l’ispezione di tutti i download Http e Https e del traffico web e in-the-cloud, sottoponendo i tipi di file eseguibili a un’analisi statica e dinamica approfondita prima del download, bloccare i download da applicazioni e istanze non utilizzate dall’organizzazione, utilizzare un sistema di prevenzione delle intrusioni in grado di identificare e bloccare i modelli di traffico dannosi e prendere in considerazione l’utilizzo di una tecnologia di isolamento del browser remoto quando è necessario visitare siti web che comportano un rischio più elevato di infezioni da malware, come ad esempio i siti web appena creati o appena registrati.