Netskope Threat Labs : les acteurs de la menace se concentrent sur l’utilisation des applications cloud dans le secteur des télécommunications

juin 2024 par Netskope

Le Threat Labs de Netskope vient de publier son dernier rapport, qui révèle que les cyberattaquants ont de plus en plus tendance à utiliser des applications professionnelles populaires afin de diffuser des malwares et faire des victimes dans le secteur des télécommunications. Cette tendance s’inscrit dans un contexte de hausse continue de l’adoption des applications cloud, dans un secteur où les utilisateurs affichent un solide engagement en faveur d’un nombre restreint d’applications populaires, notamment Microsoft.

Résultat de cette hausse, le secteur des télécommunications est la principale victime des malwares en provenance du cloud, avec une marge considérable de 7 % par rapport aux autres secteurs d’activité.

Les principales conclusions de ce rapport sont les suivantes :

• Adoption des applications cloud :

o S’ils téléversent et téléchargent des fichiers sur des applications cloud à un rythme similaire à celui d’autres industries, les utilisateurs du secteur des télécommunications ont en moyenne tendance à interagir avec un nombre d’applications cloud moins élevé.

o En moyenne, un utilisateur du secteur des télécoms interagit avec 24 applications cloud par mois, avec une préférence marquée pour les produits de Microsoft. OneDrive, Teams et Outlook sont les trois applications les plus appréciées dans ce secteur.

o Microsoft OneDrive est également l’application la plus couramment utilisée pour téléverser des données : 30 % des utilisateurs du secteur des télécommunications y ont recours quotidiennement pour téléverser des données, soit 50 % de plus que la moyenne de l’ensemble des secteurs d’activité. Avec 35 % des utilisateurs, Microsoft OneDrive est également l’application la plus populaire pour les téléchargements dans ce secteur.

• Utilisation malveillante des applications cloud :

o Le pourcentage de téléchargements de malwares par des utilisateurs de l’industrie des télécoms a chuté conformément à la tendance mondiale pour atteindre son niveau le plus bas au second semestre 2023, avant d’augmenter à nouveau début 2024.

o Avec une marge considérable de 7 % par rapport aux autres industries, les entreprises du secteur des télécoms sont les principales victimes des malwares en provenance du cloud.

o Microsoft OneDrive et GitHub affichent le plus grand nombre de téléchargements de malwares, devant Outlook. Le Top 10 des applications correspond à celui des autres industries avec des différences mineures, à savoir un plus grand nombre de malwares téléchargés sur SourceForge, le site de développement de logiciels open source, et sur Google Cloud Storage.

• Malwares et ransomwares :

o Le cheval de Troie d’accès à distance (RAT) Remcos, le téléchargeur GuLoader et l’infostealer AgentTesla comptent parmi les principales familles de malwares ayant pris pour cibles les entreprises du secteur des télécommunications.

Commentant les conclusions de cette étude, Paolo Passeri, Cyber Intelligence Principal, chez Netskope, déclare ;

« Les utilisateurs du secteur des télécommunications ont tendance à interagir avec un nombre d’applications cloud moins élevé que leurs homologues d’autres secteurs industriels. Toutefois, le pourcentage de malwares diffusés à partir du cloud est supérieur de 7 points. Cet écart indique que les professionnels des télécoms font preuve d’une plus grande ouverture à l’égard des services cloud, ce qui se traduit inévitablement par une plus grande exposition aux menaces. Ces utilisateurs maîtrisent davantage les outils en ligne tels que les applications cloud, et ce chiffre montre que les acteurs de la menace ont tendance à en tirer parti.

En outre, cette ouverture vis-à-vis des services en ligne se manifeste au travers des familles de malwares qui ciblent les utilisateurs du monde des télécoms. Par rapport à d’autres domaines en effet, elles sont nettement plus nombreuses et l’éventail de cybermenaces plus large — de l’Internet des objets avec l’omniprésent Mirai aux téléchargeurs tels que BanLoad et Guloader, en passant par les chevaux de Troie bancaires comme Grandoreiro, les infostealers tels qu’AgentTesla ou Redline, et les documents PDF utilisés en guise d’appâts dans les campagnes de phishing.

Il est intéressant de souligner que bon nombre de ces menaces se caractérisent par l’exploitation, à différents stades de la chaîne d’attaque, de services cloud authentiques qui bénéficient d’une solide réputation : Guloader stocke la charge utile chiffrée dans des services cloud légitimes tels que Microsoft OneDrive ou Google Drive ; le cheval de Troie Grandoreiro exploite souvent Microsoft Azure (mais également AWS et Google) à des fins malveillantes pour déclencher la charge utile finale ; et même les documents PDF utilisés aux fins de phishing sont fréquemment hébergés dans des services de stockage cloud légitimes afin de paraître plus réalistes et officiels. »

Le rapport s’appuie sur des données d’utilisation anonymes collectées auprès d’un panel de plus de 2 500 clients de Netskope du secteur des télécommunications qui ont tous donné leur autorisation préalable pour que leurs données soient analysées de cette manière.