En ny studie visar att protokollet Transport Layer Security (TLS) fortsätter att vara ett tveeggat svärd där allt fler cyberattacker använder säkerhetsprotokollet för att undgå upptäckt.
Nära hälften (46 procent) av den skadliga kod som IT-säkerhetsföretaget Sophos upptäckte mellan januari och mars 2021 använde TLS-kryptering för att styra cyberattacker, installera programvara och undgå upptäckt.
När motsvarande studier genomfördes i början av år 2020 var andelen knappt en fjärdedel (23 procent).
Studien visar att TLS ofta används för att sprida känd skadlig kod som GoDrop, Zloader och Dridex. Samtidigt har TLS blivit ett allt vanligare verktyg vid riktade ransomware-attacker.
– Av samma anledning som TLS blivit ett verktyg för säker kommunikation ser cyberkriminella möjligheten att använda det för att flyga under radarn. Utvecklingen drivs också på av att nya tjänster och tekniker gjort användningen av TLS betydligt enklare. Den nya studien bekräftar tyvärr bilden av TLS som ett säkerhetshot och sätter samtidigt fingret på vikten av att övervaka nätverkstrafiken på ett sätt som gör att man kan identifiera och stoppa krypterad skadlig kod, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
Legitima tjänster som Google missbrukas
I den nya studien framgår att seriösa tjänster som Google, Pastebin och Discord missbrukas och bidrar till att TLS kan användas för att sprida skadlig kod. Genom att använda legitima tjänster lyckas cyberkriminella dölja sin aktivitet och styra trafik till ”betrodda” webbplatser. I själva verket var Google Cloud den enskilt största källan för missbruk av TLS-kommunikation, delvis på grund av användningen av Google Forms och andra Google-dokument, samt molnlagring och webbsidor som drivs av Google.