Blog WatchGuard

Ataques sem ficheiros: um 'insight' de cibersegurança a considerar

Os hackers são cibercriminosos altamente treinados, com recursos capazes de comprometer um sistema numa empresa sem serem detetados. E os ataques sem malware - nos quais os cibercriminosos acedem a redes empresariais críticas sem malware - estão a aumentar.

Em vez de instalar uma aplicação maliciosa no disco rígido da vítima, como o malware tradicional, o malware sem ficheiros é uma ameaça que carrega código malicioso diretamente na memória. Tendencialmente, utiliza dois vetores de entrada: ou explora uma vulnerabilidade existente num programa que a vítima usa, ou entra através de um ficheiro que não está instalado como tal, como um script. O malware sem ficheiros injeta frequentemente o seu código na memória de programas existentes, o que faz com que a sua deteção seja muito difícil para as soluções antivírus convencionais.

Apesar destas técnicas não serem assim tão recentes (os primeiros vírus residentes na memória surgiram nos anos 80 e a partir do início dos anos 2000 surgiram alguns alojados em redes como CodeRed ou SQL Slammer), houve um crescimento exponencial dos casos desde 2016. Na WatchGuard, desde 2020, já registámos mais de 200 mil exemplos diferentes de malware com origem em scritps (o que compara com os menos de 50 mil com origem em browsers, que vêm em segundo lugar no ranking de pontos de entrada). Isto significa um aumento de 888% face a 2019.

As soluções de cibersegurança tradicionais baseiam a sua análise principalmente em assinaturas de malware conhecido e de malware que usa ficheiros. Atualmente, podem, também, detetar alguns padrões anómalos em estruturas de código que podem indicar ataques baseados em script e que variam em termos de sofisticação.

Com isto em mente, será que os ataques de malware devem ser considerados um problema ou o maior foco das empresas modernas, especialmente quando há soluções disponíveis para os prevenir?

Felizmente, ferramentas como os serviços de prevenção de intrusão são capazes de detetar e bloquear as explorações de rede e travar infeções. Acresce que as soluções de Deteção e Resposta nos Endpoint (EDR, na sigla original), que monitorizam o comportamento do processo por atividade suspeita, podem detetar atividade maliciosa antes que seja demasiado tarde. Agora, a WatchGuard vai mais além com o WatchGuard EPDR, juntando as funcionalidades de Endpoint Protection (EPP) e de Endpoint Detection and Response (EDR) num único produto, para máxima segurança contra ameaças sofisticadas.

Como sempre, entender a ameaça é metade da batalha. Ao educar-se a si próprio e à sua empresa sobre o potencial e a mecânica dos ataques de malware, pode assegurar-se de que dispõe das proteções necessárias para evitar tornar-se uma vítima.