Ataques sin archivo: una visión de ciberseguridad a tener en cuenta
Los hackers son ciberdelincuentes altamente capacitados con acceso a recursos capaces de comprometer un sistema de una organización sin ser detectados. Y los ataques sin archivo (malwareless), en los que los ciberdelincuentes acceden a las redes críticas de las empresas sin necesidad de utilizar malware, van en aumento.
En lugar de instalar una aplicación maliciosa en el disco duro de la víctima, como el malware tradicional, el malware fileless o sin archivo es una amenaza que carga directamente el código malicioso en la memoria. Suele utilizar dos vectores de entrada: o bien aprovecha una vulnerabilidad existente en un programa que utiliza la víctima o se introduce a través de un archivo que no está instalado como tal, como un script. El malware sin archivo suele inyectar su código en la memoria de los programas existentes, lo que hace muy difícil su detección por parte de las soluciones antivirus convencionales.
Aunque estas técnicas no son tan nuevas (los primeros virus residentes en memoria surgieron en los años 80, y desde principios de la década de 2000 aparecieron gusanos alojados en redes como CodeRed o SQL Slammer) se ha producido un crecimiento exponencial de casos desde 2016. En WatchGuard hemos registrado más de 200.000 ejemplos diferentes de malware con origen en scripts desde 2020 (frente a menos de 50.000 procedentes de navegadores, que ocupan el segundo lugar en el ranking de puntos de entrada). Esto supone un aumento del 888% en comparación con 2019.
Las soluciones de ciberseguridad tradicionales se basan principalmente en el análisis de firmas de malware conocido y de malware que utiliza archivos. Hoy en día, también pueden detectar algunos patrones anómalos en las estructuras de código que pueden indicar ataques basados en scripts que varían en términos de sofisticación.
Teniendo esto en cuenta, ¿deberían considerarse los ataques de malware como un problema o incluso como el principal objetivo de las empresas modernas, especialmente cuando existen soluciones para prevenirlos?
Afortunadamente, herramientas como los servicios de prevención de intrusiones son capaces de detectar y bloquear los exploits de red y detener las infecciones de vaporworms. Además, las soluciones de detección y respuesta de endpoints (EDR) que supervisan el comportamiento de los procesos en busca de actividad sospechosa pueden detectar la actividad maliciosa antes de que sea demasiado tarde. Ahora WatchGuard va un paso más allá con WatchGuard EPDR, reuniendo nuestras capacidades de Endpoint Protection (EPP) y de Endpoint Detection and Response (EDR) en un solo producto para obtener la máxima seguridad contra las sofisticadas amenazas a los endpoints.
Como siempre, entender la amenaza es la mitad de la batalla. Formarte y educarte, al igual que hacerlo con el resto de tu organización sobre el potencial y la mecánica de los ataques de malware, puedes asegurarte de que cuentas con las protecciones necesarias para evitar convertirte en una víctima.
¿Buscas más información sobre qué es el malware sin archivo, cómo funciona, cómo lo utilizan los atacantes y qué debes hacer para mantener sus sistemas a salvo de esta amenaza tan popular? Todas las respuestas están en el informe Cybersecurity Insights: Fileless attacks.