La mayoría de la gente piensa que el malware es un archivo ejecutable malicioso descargado de un correo electrónico o de la web, pero el malware sin archivos añade un nuevo giro a la protección de los datos. En lugar de usar archivos que se cargan cada vez que un usuario arranca su sistema, el malware sin archivos se carga desde el registro de Windows y se arranca directamente en la memoria o carga el malware usando un código malicioso almacenado en un documento. El malware sin archivos se ha creado para evitar el software antivirus, por lo que se necesitan capas adicionales de seguridad para detenerlo.
¿Qué es el malware sin archivos?
El malware sin archivos es un tipo de software malicioso que funciona totalmente en la memoria de un ordenador, lo que significa que no crea ningún archivo en el disco duro. Con el malware tradicional, el autor del malware compila un ejecutable y debe encontrar una manera de entregarlo a un objetivo. Por ejemplo, el autor del malware podría crear un mensaje de correo electrónico para convencer a un empleado del centro de datos de que abra un script que luego descargará el ejecutable. El ejecutable carga código malicioso en la memoria. Cada vez que el usuario se reinicia, el archivo ejecutable se vuelve a cargar en la memoria.
El malware sin archivos es mucho más ligero que el malware basado en archivos. Con el malware sin archivos, el código se carga en el registro de Windows o el código malicioso se carga en la memoria sin necesidad de archivos ejecutables. Por ejemplo, un script de PowerShell puede cargarse en la memoria del servidor y usarse para enviar datos a un servidor controlado por un atacante en Internet.
Cómo funciona el malware sin archivos
La mayoría de los ataques empiezan con un correo electrónico malicioso de phishing, pero los atacantes también pueden trabajar con descargas drive-by alojadas en sus servidores web. Otra manera habitual de iniciar un ataque es a través de la ingeniería social. Un atacante puede ponerse en contacto con un objetivo por mensaje de texto y convencerle de que abra una página web con scripts maliciosos. El phishing a partir de redireccionamientos maliciosos en la web o los ataques de man-in-the-middle en un punto de acceso Wi-Fi malvado son más raros, pero posibles en los ataques de malware.
El malware sin archivos suele dirigirse a los equipos Windows, por lo que PowerShell es el lenguaje de scripts más común utilizado en estos ataques. En primer lugar, se persuade a un usuario para que ejecute el script de PowerShell —normalmente conectado a un mensaje de correo electrónico— y el script de PowerShell ejecuta las instrucciones. Las instrucciones pueden ser instalar ransomware, robar datos del ordenador del usuario, escuchar en silencio las contraseñas o instalar rootkits para el control remoto del equipo local. PowerShell puede ejecutar las aplicaciones actuales instaladas en el ordenador del usuario, para que el malware sin archivos pueda intentar crear un documento con código malicioso o inyectar código malicioso en un documento existente. Cuando el usuario comparte el documento con otro usuario, el código malicioso se ejecuta y entrega su carga útil.
Vectores de ataque comunes
El vector de ataque más común para la mayoría de las cargas útiles es el phishing y también es el más común para los ataques sin archivos. Para proporcionar una carga útil mediante el correo electrónico, el atacante debe convencer al usuario de que abra un archivo adjunto malicioso o de que lo dirija a un sitio web que aloje el malware. Las empresas deben tener siempre configurada la seguridad del correo electrónico para evitar que estos mensajes lleguen a las bandejas de entrada de los empleados.
Los documentos de Microsoft Office pueden almacenar macros y código para activar la actividad cuando se abre el documento. Las operaciones pueden ser inofensivas, pero el código malicioso almacenado en un documento de Office (por ejemplo, Word, Excel o PowerPoint) puede realizar una serie de cargas útiles. Las cargas útiles incluyen el robo de datos, la instalación de rootkits o la entrega de ransomware a la máquina local o al entorno de red.
La ingeniería social podría ser un componente de un ataque. Por ejemplo, un ataque de phishing más sofisticado suele tener varios atacantes que trabajan para engañar a empleados de alto privilegio, como contables o personal de recursos humanos. Estos objetivos tienen acceso a datos confidenciales, por lo que los autores de las amenazas pueden obtener un retorno mucho mayor de sus esfuerzos. Un autor de una amenaza puede colaborar con un ingeniero social y llamar a un objetivo para convencerle de que participe en un correo electrónico de phishing.
El impacto del malware sin archivos
Los ataques sin archivos suelen provocar la pérdida de datos o puertas traseras a largo plazo, en las que el malware puede persistir incluso después de la erradicación. Para la mayoría de los ciberdelincuentes organizados, trabajan juntos para robar datos. Ransomware es una carga útil común y puede obligar a las organizaciones a pagar millones para recuperar sus datos si no tienen copias de seguridad de datos viables.
Las amenazas persistentes suelen ejecutarse durante meses antes de la detección. Estas amenazas pueden usarse para filtrar los datos de manera silenciosa. Si bien se ejecutan amenazas persistentes, normalmente crean puertas traseras para que el personal de seguridad no pueda eliminarlas o contenerlas por completo. Después de la detección y la erradicación, los administradores de red pueden tener una falsa sensación de seguridad, mientras que las puertas traseras de la amenaza persistente permiten que los atacantes vuelvan a vulnerar el entorno.
La mayoría de las vulneraciones de datos provocan pérdidas de ingresos debido a litigios y multas de cumplimiento. Los daños a la marca deben estar contenidos y una pérdida de confianza del cliente también podría reducir las ventas. El malware sin archivos se ha creado para evitar la detección, por lo que puede ser especialmente peligroso para la continuidad operativa y los ingresos futuros.
Estrategias de detección y prevención
Para evitar las consecuencias de un ataque de malware sin archivos, la detección temprana es crucial. La detección temprana evita muchos de los requisitos de recuperación de desastres que hay que limpiar después de una vulneración de datos. Las herramientas de supervisión instaladas en la infraestructura de red y los terminales (por ejemplo, los dispositivos móviles de los usuarios) pueden detectar el malware sin archivos antes de cargarlo en la memoria. Las soluciones de supervisión de la red detectarán cualquier comportamiento anómalo cuando un código malicioso intente acceder a archivos y datos confidenciales.
La prevención de intrusiones contendrá automáticamente una amenaza. La supervisión detecta el malware y alerta a los administradores, pero la prevención de intrusiones lleva la ciberseguridad un paso más allá y la impide automáticamente robar datos. Los administradores de la red deben tomar medidas, pero los daños se mitigan con la prevención y la contención de intrusiones.
La supervisión y la prevención actuales utilizan analíticas y patrones de comportamiento para detectar actividades maliciosas. Por ejemplo, un archivo con datos confidenciales solo puede recibir un puñado de solicitudes de acceso a lo largo del año. Cuando el malware intenta acceder a los archivos varias veces en un corto periodo de tiempo, las soluciones de detección lo ven como una actividad sospechosa y alertan a los administradores. Las amenazas de día cero también pueden detectarse usando puntos de referencia y descubrimiento anómalos.
Conclusión
El malware sin archivos es solo uno de los numerosos riesgos para la ciberseguridad a los que los administradores deben enfrentarse. Puede minimizar y mitigar los riesgos con las herramientas de supervisión, la detección de intrusiones y las soluciones de prevención adecuadas. Instale la protección de detección y respuesta de terminales (EDR) en todos los dispositivos de usuario, sobre todo los que se conectan a puntos de acceso Wi-Fi de terceros. Por último, asóciese con un socio tecnológico de confianza que ofrezca soluciones que protejan sus datos y prioricen la protección de los datos.
