Gebruik je OneDrive of Google Drive? Pas op voor deze malware

Uit een recent rapport is gebleken dat OneDrive verantwoordelijk is voor 30% van alle downloads van cloudmalware, een veel hoger percentage dan de meeste andere cloudtoepassingen. Dit is een dramatische stijging van bijna drie keer het bedrag ten opzichte van het voorgaande jaar. Dit rapport benadrukt de noodzaak van betere beveiligingsmaatregelen bij het gebruik van cloudopslagtoepassingen.

Andere cloudgebaseerde services die zijn geïdentificeerd als vectoren voor malwaredownloads zijn SharePoint, dat goed is voor 7,2%, Gmail met 4%, Box met 3,6% en Google Drive met 2,8%.

Voor het tweede jaar op rij is OneDrive de meest gebruikte service voor het hosten van malware. Hackers maken gebruik van deze legitieme applicaties om malware te uploaden en te verspreiden, omdat iedereen een account op deze sites kan maken. De bijbehorende merkherkenning van Microsoft helpt het vertrouwen van het slachtoffer te winnen om de malware te downloaden.

Het is dus essentieel om alle bestanden die afkomstig zijn van deze sites te scannen. Wanneer een schadelijk bestand wordt gedownload van OneDrive, Drive, SharePoint, ShareFile, Box of Dropbox, moet u een beveiligingssysteem hebben dat het bestand kan detecteren en in quarantaine plaatsen om verspreiding te voorkomen.

Ransomware is een bijzonder gevaarlijk type malware. Het kan niet alleen worden geleverd via OneDrive, maar ook naar OneDrive, waarbij de gegevens van organisaties in de cloud effectief worden gericht en aanvallen op de cloudinfrastructuur worden uitgevoerd.

Volgens onderzoekers omvat deze aanpak het gebruik van de ingebouwde door de gebruiker gecontroleerde versiebeheerfunctie om het aantal opgeslagen versies tot één te minimaliseren. Deze instelling is te vinden in de versiebeheerinstellingen onder lijstinstellingen voor elke documentbibliotheek in OneDrive. Het instellen van de versielimiet op nul werkt echter niet voor een aanvaller, omdat bestaande versies nog steeds door de gebruiker kunnen worden hersteld. Als de limiet is ingesteld op één, hoeft het bestand slechts twee keer te worden gecodeerd voordat bestaande versies van de inhoud niet langer toegankelijk zijn voor de gebruiker. Dit geeft de aanvaller de mogelijkheid om dubbele afpersing te initiëren als het bestand voorafgaand aan de codering wordt geëxfiltreerd.

Met deze bedreigingen in gedachten, welke beveiligingsoplossing kan deze aanvallen het beste voorkomen?

Preventie van gegevenslekken en detectie van afwijkingen in gebruikersgedrag werken samen om gecompromitteerde accounts en aanmeldingen te identificeren.

Content Disarm &Reconstruction (CDR) is een extra maatregel die eindgebruikers helpt beschermen tegen zero-day bedreigingen. Dit wordt bereikt door alle uitvoerbare inhoud uit inkomende bestanden te verwijderen, waardoor ze veilig worden voor de ontvanger. Dit alles gebeurt direct en efficiënt.

CDR is een proces dat in realtime werkt om bestanden op te splitsen in hun afzonderlijke componenten, elementen te verwijderen die niet voldoen aan de specificaties van het oorspronkelijke bestandstype en een “schone” versie opnieuw op te bouwen die naar de beoogde bestemming kan worden verzonden. Dit proces is gunstig omdat het zero-day malware en exploits verwijdert, terwijl de negatieve gevolgen voor de bedrijfsproductiviteit die gepaard gaan met sandbox-detonatie en quarantainevertragingen worden vermeden.

Gartner, een toonaangevend onderzoeks- en adviesbureau, heeft verklaard dat een Content Disarm and Reconstruction (CDR)-systeem een essentieel onderdeel is van elke e-mailbeveiligingsoplossing. Naarmate cyberdreigingen geavanceerder worden, is het belangrijk voor organisaties om te investeren in een uitgebreide e-mailbeveiligingsoplossing met een CDR-systeem.

Gevallen van malware die via cloudservices worden verzonden, nemen snel toe en vormen een groot risico voor bedrijven. Als u geen stappen onderneemt om deze kritieke toepassingen te beschermen, verhoogt u de kans op een grote aanval aanzienlijk.

Bron: checkpoint