Сервисы Microsoft названы крупнейшими хостингами для вредоносного ПО

На модерации Отложенный

Эксперты называют сервисы Microsoft «крупным в мире хостингом для вредоносного ПО» — во многом благодаря злоупотреблению киберпреступниками площадками вроде Office 365 и OneDrive, а также другими проектами компании. 

 

newsignature.com

Эксперт по кибербезопасности TheAnalyst рассказал, что OneDrive в своё время был хостингом, в частности, для вредоносного проекта BazarLoader, и обвинил компанию в том, что Microsoft известно о том, что она хранит в своих облачных сервисах сотни вредоносных файлов.

В рамках «проекта» BazarLoader рассылался спам, призванный обмануть получателей, заставив их запустить троян, перейдя по ссылке. В данном случае речь идёт об ISO-образе, содержавшем вредоносный DLL-файл с вводящим заблуждение ярлыком Documents. После запуска не исключена атака программы-вымогателя семейства Conti. 

По словам Кевина Бомонта (Kevin Beaumont), работавшего в Microsoft одним из руководящих специалистов по кибербезопасности с июня 2020-го по апрель 2021 года, ничего удивительного в подобной ситуации нет. Эксперт утверждает, что в своё время в компании создали канал связи с командой Google Drive, позволяющий оповещать о BazarLoader, причём реакция на запросы об удалении вредоносных ссылок происходила буквально в течение минут. Теперь злоумышленники переместились в инфраструктуру Microsoft, и почти невозможно заставить компанию удалить файлы.

Бомонт заявил следующее: «Microsoft не имеет права рекламировать себя в качестве лидера в области безопасности с 8000 сотрудников с соответствующей специализацией, обрабатывающих триллионы сигналов, если они не могут предотвратить использование собственной платформы Office 365 для прямого распространения вымогательского ПО Conti. Злоупотребление OneDrive продолжается годами».

Сайт URLhaus, поддерживаемый швейцарским проектом abuse.ch и Институтом кибербезопасности и инженерии Бернского университета, содержит статистику того, как много времени уходит на удаление вредоносного ПО с момента сообщения хостингу об инциденте.

Microsoft имеет наихудшую скорость реакции среди десятка площадок, хранящих большинство вредоносных URL, — она составляет более 29 дней. По данным сайта, платформы Google содержат ещё больше вредоносных адресов и тоже медленно реагируют на сообщения, но скорость реакции заметно выше, чем у Microsoft, — «всего» 14 дней. Специалисты проекта предполагают, что в центре Microsoft Security Response Center процессы наверняка не автоматизированы.

Известно, что сайты на хостинге Microsoft, содержащие вредоносное ПО, используют специально созданные с этой целью или украденные аккаунты OneDrive — довольно часто вредоносный софт хранится в скомпрометированных бизнес-аккаунтах Office 365.

По словам Бомонта, автоматическая блокировка подозрительных файлов облачными провайдерами проблематична не только потому, что новые варианты трудно выявить, но и потому, что даже ПО, выявленное Microsoft Defender, не удаляется из OneDrive автоматически. По некоторым данным, в среднем на удаление вредоносного контента уходит от 2 дней до 4 месяцев. Поэтому пользователям не стоит слепо доверять ссылкам, связанным с доменами OneDrive или Google Drive, и тем более заносить их в «белый список».

В Microsoft отвечают, что злоупотребление облачными хранилищами — проблема, характерная для всей индустрии, и компания постоянно работает над тем, чтобы её сервисы причиняли наименьший вред. Компания работает над дальнейшими усовершенствованиями и предотвращением угроз, а также ускорением времени ответа на доклады о них. В Microsoft советуют пользователям с осторожностью кликать по ссылкам на веб-страницы, открывать незнакомые файлы или подтверждать передачу файлов неизвестного происхождения. Об инцидентах рекомендуется сообщать, используя форму