Kibernetički napadi sve češće ciljaju pouzdane platforme kao Dropbox i SharePoint

Kibernetički kriminalci sve više koriste platforme poput Dropboxa, SharePointa i QuickBooksa u phishing kampanjama te iskorištavaju legitimne domene kako bi zaobišli sigurnosne mjere, otkriva se u izvješću Darktrace Threat Report za prošlu godinu.

Ugradnjom adresa pošiljatelja ili zlonamjernih poveznica unutar pouzdanih domena, hakeri uspješno izbjegavaju tradicionalne metode otkrivanja i varaju nesumnjive korisnike. Konkretnije, stručnjaci su identificirali više od 30,4 milijuna phishing e-mailova, potvrđujući da je phishing i dalje najčešće korištena metoda napada.

Također, otkrilo se da kibernetički kriminalci zloupotrebljavaju treće strane i poslovne usluge poput Zoom Docs, HelloSign, Adobea i Microsoft SharePointa. U 2024. je čak 96 posto phishing e-mailova koristilo već postojeće domene umjesto registracije novih, što ih čini teže prepoznatljivima.

Napadači su često koristili preusmjeravanja putem legitimnih servisa, poput Googlea, kako bi dostavili malware. Primjerice, u jednom Dropbox napadu, e-mail je sadržavao poveznicu na PDF dokument hostan na Dropboxu, koji je sadržavao malware.

Osim toga, hakeri su iskorištavali kompromitirane e-mail račune, uključujući one povezane s Amazon Simple Email Serviceom, koji pripadaju poslovnim partnerima, dobavljačima i drugim pouzdanim trećim stranama. Autori izvješća ističu da to naglašava kako je krađa identiteta i dalje skupi problem i konstantan izazov za poslovne mreže i infrastrukturu poduzeća.

Među phishing e-mailovima koje je Darktrace identificirao 2,7 milijuna sadržavalo je višefazni malware, a njih više od 940.000 sadržavalo je malware QR kodove.

Phishing napadi postaju sve sofisticiraniji, pri čemu je spear phishing, ili ciljani napadi putem e-maila, činio 38 posto svih slučajeva. Istodobno, 32 posto phishing napada koristilo je napredne metode socijalnog inženjeringa, uključujući AI-generirani tekst s povećanom složenošću jezika. To se može očitovati kroz povećan broj riječi, interpunkciju ili duže rečenice.

Ransomware grupe poput Akira, RansomHub, Black Basta, Fog i Qilin, zajedno s novim akterima poput Lynxa, sve češće koriste legitimni poslovni softver u napadima. Darktrace je zabilježio korištenje AnyDesk i Atera za prikrivanje komunikacije između napadača i sustava, izvlačenja podataka na cloud servise i tehnologije za prijenos datoteka za brzu eksploataciju i dvostruku iznudu.

Osim toga, ove skupine sve češće koriste Ransomware-as-a-Service (RaaS) i Malware-as-a-Service (MaaS), a broj napada koji koriste MaaS alate porastao je za 17 posto u drugoj polovici 2024. u odnosu na prvu. Također, upotreba Remote Access Trojans (RATs), malwarea koji omogućuje napadaču daljinsku kontrolu zaraženog uređaja, porasla je za 34 posto u istom razdoblju.