La mayoría de las personas piensan en el malware como archivos ejecutables maliciosos descargados de un correo electrónico o de la web, pero el malware sin archivos agrega un nuevo giro a la protección de datos. En lugar de usar archivos que se cargan cada vez que un usuario inicia su sistema, el malware sin archivos se carga desde el registro de Windows y se inicia directamente en la memoria o carga malware usando código malicioso almacenado en un documento. El malware sin archivos está diseñado para eludir el software antivirus, por lo que se necesitan capas adicionales de seguridad para detenerlo.
¿Qué es el malware sin archivos?
El malware sin archivos es un tipo de software malicioso que funciona completamente dentro de la memoria de una computadora, lo que significa que no crea archivos en el disco duro. Con el malware tradicional, el autor del malware compila un ejecutable y debe encontrar una forma de entregarlo a un objetivo. Por ejemplo, el autor del malware podría crear un mensaje de correo electrónico para convencer a un empleado del centro de datos de abrir un script que luego descargará el ejecutable. El ejecutable carga código malicioso en la memoria. Cada vez que el usuario se reinicia, el archivo ejecutable se vuelve a cargar en la memoria.
El malware sin archivos es mucho más liviano que el malware basado en archivos. Con el malware sin archivos, el código se carga en el registro de Windows, o el código malicioso se carga en la memoria sin necesidad de archivos ejecutables. Por ejemplo, un script de PowerShell podría cargarse en la memoria del servidor y utilizarse para enviar datos a un servidor controlado por un atacante en Internet.
Cómo funciona el malware sin archivos
La mayoría de los ataques comienzan con un correo electrónico de phishing malicioso, pero los atacantes también pueden trabajar con descargas drive-by alojadas en sus servidores web. Otra forma común de iniciar un ataque es a través de la ingeniería social. Un atacante podría comunicarse con un objetivo por mensaje de texto y convencerlo de abrir una página web con guiones maliciosos. El phishing de redireccionamientos maliciosos en la web o los ataques de hombre en el medio en un punto de acceso Wi-Fi malvado-twin son más raros, pero posibles en los ataques de malware.
El malware sin archivos generalmente se dirige a las máquinas de Windows, por lo que PowerShell es el lenguaje de scripts común utilizado en estos ataques. Primero se persuade a un usuario para que ejecute el script de PowerShell, generalmente adjunto a un mensaje de correo electrónico, y el script de PowerShell ejecuta instrucciones. Las instrucciones podrían ser instalar ransomware, robar datos de la computadora del usuario, escuchar en silencio las contraseñas o instalar rootkits para el control remoto de la máquina local. PowerShell puede ejecutar aplicaciones actuales instaladas en la computadora del usuario, de modo que el malware sin archivos puede intentar crear un documento con código malicioso o inyectar código malicioso en un documento existente. Cuando el usuario comparte el documento con otro usuario, el código malicioso ejecuta y entrega su carga útil.
Vectores de ataques comunes
El vector de ataque más común para la mayoría de las cargas útiles es el phishing, y también es el más común para los ataques sin archivos. Para entregar una carga útil mediante correo electrónico, el atacante debe convencer al usuario de abrir un archivo adjunto malicioso o dirigirlo a un sitio web que aloje el malware. Las empresas siempre deben tener configurada la seguridad del correo electrónico para evitar que estos mensajes lleguen a las bandejas de entrada de los empleados.
Los documentos de Microsoft Office pueden almacenar macros y códigos para activar la actividad cuando se abre el documento. Las operaciones podrían ser inofensivas, pero el código malicioso almacenado en un documento de Office (p. ej., Word, Excel o PowerPoint) podría realizar varias cargas útiles. Las cargas útiles incluyen el robo de datos, la instalación de rootkits o la entrega de ransomware a la máquina local o al entorno de red.
La ingeniería social podría ser un componente en un ataque. Por ejemplo, un ataque de phishing más sofisticado suele tener varios atacantes que trabajan para engañar a empleados de alto privilegio, como contadores o personal de recursos humanos. Estos objetivos tienen acceso a datos confidenciales, por lo que los autores de amenazas pueden obtener mucho más retorno sobre sus esfuerzos. Un autor de amenazas puede asociarse con un ingeniero social y llamar a un objetivo para convencerlo de que se comprometa con un correo electrónico de phishing.
El impacto del malware sin archivos
Los ataques sin archivos generalmente provocan la pérdida de datos o puertas traseras a largo plazo donde el malware puede persistir incluso después de la erradicación. Para la mayoría de los ciberdelincuentes organizados, trabajan juntos para robar datos. Ransomware es una carga útil común y puede obligar a las organizaciones a pagar millones para recuperar sus datos si no tienen copias de seguridad de datos viables.
Las amenazas persistentes a menudo se ejecutan durante meses antes de la detección. Estas amenazas se pueden usar para exfiltrar datos en silencio. Si bien se ejecutan amenazas persistentes, generalmente crean puertas traseras para que el personal de seguridad no pueda eliminarlas o contenerlas por completo. Después de la detección y erradicación, los administradores de red pueden tener una falsa sensación de seguridad, mientras que las puertas traseras de la amenaza persistente permiten que los atacantes vuelvan a violar el entorno.
La mayoría de las filtraciones de datos conducen a la pérdida de ingresos por litigios y multas de cumplimiento. El daño a la marca debe estar contenido, y una pérdida en la confianza del cliente también podría reducir las ventas. El malware sin archivos está diseñado para evitar la detección, por lo que puede ser especialmente peligroso para la continuidad del negocio y los ingresos futuros.
Estrategias de detección y prevención
Para evitar las consecuencias de un ataque de malware sin archivos, la detección temprana es crucial. La detección temprana evita muchos de los requisitos de recuperación ante desastres para limpiar después de una filtración de datos. Las herramientas de monitoreo instaladas en la infraestructura de la red y los puntos finales (p. ej., dispositivos móviles del usuario) pueden detectar malware sin archivos antes de cargarlo en la memoria. Las soluciones de monitoreo de red detectarán cualquier comportamiento anómalo cuando un código malicioso intente acceder a archivos y datos confidenciales.
La prevención de intrusiones contendrá automáticamente una amenaza. El monitoreo detecta malware y alerta a los administradores, pero la prevención de intrusiones lleva la ciberseguridad un paso más allá y evita automáticamente que robe datos. Los administradores de red aún deben tomar medidas, pero el daño se mitiga con la prevención y contención de intrusiones.
El monitoreo y la prevención actuales utilizan técnicas de análisis y patrones de comportamiento para detectar actividades maliciosas. Por ejemplo, un archivo con datos confidenciales solo puede recibir un puñado de solicitudes de acceso durante el año. Cuando el malware intenta acceder a los archivos varias veces en un período corto, las soluciones de detección lo ven como una actividad sospechosa y administradores de alertas. Las amenazas de día cero también pueden detectarse mediante el uso de pruebas comparativas y descubrimientos anómalos.
Conclusiones
El malware sin archivos es solo uno de los muchos riesgos de seguridad cibernética con los que los administradores deben lidiar. Puede minimizar y mitigar los riesgos con las herramientas de monitoreo, la detección de intrusos y las soluciones de prevención adecuadas. Instale la protección de detección y respuesta de endpoint (EDR) en todos los dispositivos de usuario, especialmente aquellos que se conectan a hotspots Wi-Fi de terceros. Por último, asóciese con un socio tecnológico de confianza que ofrezca soluciones que protejan sus datos y prioricen la protección de datos.
