Netskope Threat Labs : GitHub en tête de la liste des applications cloud utilisées pour diffuser des malwares dans le secteur des assurances
octobre 2024 par Netskope
Le Threat Labs de Netskope publie sa toute dernière étude consacrée aux menaces que représentent les applications cloud dans le secteur des assurances. Selon les conclusions de ce rapport, GitHub est l’application cloud la plus utilisée pour diffuser des malwares. Par ailleurs, le rapport fait état d’une augmentation continue de l’adoption des applications cloud dans le secteur des assurances et propose une analyse des principales familles de malwares utilisées à son encontre.
Les principales conclusions de l’étude :
• Adoption des applications cloud :
o En moyenne, les employés du secteur des assurances interagissent régulièrement avec 24 applications cloud chaque mois. Parmi celles-ci, les outils Microsoft tels que OneDrive, Teams, SharePoint ou Copilot sont favorisées. Outre le fait d’être les plus couramment utilisées, ces applications couvrent également une grande variété de fonctionnalités telles que le stockage, le courrier électronique et la messagerie instantanée.
o Si Teams, OneDrive et SharePoint sont largement utilisées dans de nombreux autres secteurs, le monde des assurances se distingue par le fait que les outils de Microsoft occupent les six premières places.
• Utilisation malveillante d’applications cloud pour la diffusion de malwares :
o Parmi les compagnies d’assurance, les trois applications cloud qui ont donné lieu au plus grand nombre de téléchargement de malwares sont GitHub, OneDrive et SharePoint.
o À titre d’exemple, GitHub compte près de deux fois plus de téléchargements de malwares dans le secteur des assurances que dans d’autres industries.
• Principales familles de malwares :
o Les cinq principales familles de malwares et ransomwares ciblant les utilisateurs du secteur des assurances au cours des 12 derniers mois sont les suivantes : Backdoor.Zusy (alias TinyBanker), Downloader.BanLoad, Infostealer.AgentTesla, Trojan.Grandoreiro et Phishing.PhishingX.
« Compte tenu de son utilisation croissante par les cybercriminels pour attaquer la supply chain, il est important de signaler le rôle que joue GitHub en tant qu’application cloud la plus exploitée dans le secteur des assurances, déclare Paolo Passeri, Cyber Intelligence Specialist chez Netskope. Les cyberattaquants créent de plus en plus de projets ou de paquets malveillants et utilisent le typosquatting pour tromper leurs cibles en imitant des contenus légitimes hébergés sur la plateforme GitHub. Il arrive même qu’ils compromettent des projets authentiques, ce qui représente une grave menace si un paquet fintech devait être infecté par un malware.
Ces attaques peuvent viser plusieurs entreprises à la fois, maximisant le retour sur investissement des attaquants moyennant un minimum d’effort, ce qui explique leur popularité croissante. À mesure qu’elle s’impose auprès des entreprises comme des cybercriminels, la plateforme GitHub devrait remplacer les plateformes cloud traditionnellement ciblées par les acteurs de la menace — Microsoft OneDrive, par exemple — et toucher d’autres secteurs d’activité. »
Le Threat Labs de Netskope recommande aux compagnies d’assurance d’analyser leur posture de sécurité afin de garantir qu’elles sont correctement protégées contre les tendances suivantes :
• Inspecter la totalité des téléchargements HTTP et HTTPS, y compris le trafic échangé sur le web et dans le cloud, afin d’empêcher les malwares d’infiltrer le réseau.
• S’assurer que les types de fichiers à haut risque, tels que les exécutables et les archives, sont scrupuleusement inspectés en combinant des outils d’analyse statique et dynamique en amont de leur téléchargement. Configurer des règles permettant de bloquer le téléchargement à partir d’applications et d’instances qui ne sont pas utilisées dans l’entreprise dans le but de limiter la surface exposée aux seules applications et instances dont elle a besoin.
• Configurer des règles permettant de bloquer le téléversement vers des applications et des instances qui ne sont pas utilisées dans l’entreprise afin de réduire le risque d’exposition de données — accidentelle ou délibérée — par des initiés ou d’exploitation malveillante par des cyberattaquants.
• Utiliser un système de prévention des intrusions (IPS — Intrusion Prevention System) capable d’identifier et de bloquer les schémas de trafic malveillants tels que les échanges de commande et contrôle (C2) associés aux malwares les plus répandus. Le fait de bloquer ce type de communications peut empêcher des dommages en limitant la capacité des cybercriminels à exécuter des actions supplémentaires.
• Utiliser la technologie d’isolation du navigateur à distance (RBI — Remote Browser Isolation) pour appliquer une ligne de protection supplémentaire lorsqu’il est impératif de visiter un site appartenant à une catégorie susceptible de présenter un risque plus élevé, par exemple un domaine nouvellement observé ou nouvellement enregistré.