El panorama de la ciberseguridad es cambiante, los diferentes tipos de ciberataques van evolucionando y ganando en popularidad según mejoran las defensas. Actualmente el fileless malware es uno de los ataques que más popularidad ha ganado entre los ciberdelincuentes.

Estos ataques están creciendo en sofisticación y frecuencia, y están demostrando ser particularmente exitosos contra la mayoría de las organizaciones debido a que un amplio porcentaje de las soluciones de seguridad anteriores fueron diseñadas para detectar malware basado en archivos que residían en el disco, no en la memoria.

Esta situación ha llevado a que este tipo de ciberataques representaran aproximadamente el 35% de todos los ataques sufridos durante 2018, y se estima que para este 2019 podrían alcanzar el 50% de los ataques totales de malware.

Debido a su dificultad en la detección y a su posterior bloqueo y eliminación tienen casi diez veces más probabilidades de éxito que los ataques basados en archivos. Parte de este éxito se debe a que, lo que comenzó como un troyano bancario ha expandido sus operaciones y ahora se dirige con frecuencia a las empresas en un intento por recopilar las credenciales de acceso y los datos que pueda, potencialmente explotándolos en un esfuerzo por obtener la propiedad intelectual y los secretos comerciales.

Emotet, hasta ahora el más peligroso

Las investigaciones dejan de manifiesto que el nuevo fileless malware que se está desarrollando y desplegando cuenta con características y técnicas que permiten a los ciberdelincuentes ir más lejos que antes en términos de infección, evasión de detección y persistencia.

Algunos de los ataques más peligrosos son Emotet, TrickBot y Sorebrect, entre otros, los cuales permiten a los atacantes realizar actividades que no son detectadas por los sistemas de seguridad tradicionales.

El aumento de troyanos Emotet dirigidos a las empresas bancarias se debe principalmente a que contiene un módulo de correo no deseado que permite a los atacantes enviar en masa las cargas maliciosas a las direcciones de correo electrónico que se encuentran en el sistema seleccionado.

La detección de troyanos que se dirigieron a las entidades bancarias aumentó en un 84% en el último trimestre de 2018, en cambio, los ataques que apuntaron a los clientes aumentaron solo en un 27%.

Con Estados Unidos a la cabeza, Reino Unido ha sido el país europeo en el que se han visto más infecciones por Emotet durante 2018.

Sin embargo, desde inicios de 2019, América Latina ha sufrido un aumento de estos ataques a través de emails en español que invocan comandos CMD y POWERSHELL. Por ejemplo, el banco chileno Consorcio, fue a finales de 2018 una de las últimas victimas de este ciberataque. El troyano se habría colado en la red a través de un ataque común de phishing.

¿Cómo protegerse?

Debido a que la amenaza que representan los fileless malware es tan diferente de la que representan otros programas maliciosos, las organizaciones necesitan crear un plan de mitigación específico con muchos componentes.

Los planes de mitigación de riesgos, incluidas las operaciones a prueba de fallo aseguran que, si sucede un fallo del equipo, proceso o sistema, este no se propague más allá de los alrededores inmediatos de la entidad que falla.

Ante un ataque fileless malware, el plan de mitigación debe ser lo suficientemente proactivo para monitorear las operaciones realizadas por los servicios de administración de ventanas [WMI] y PowerShell para identificar cualquier tarea no deseada.

También es aconsejable deshabilitar el lenguaje de script de shell de la línea de comandos, incluidos los instrumentos de PowerShell y Window Management, donde no sea necesario. Sin embargo, esta acción puede tener un impacto significativo en la productividad porque PowerShell se ha vuelto cada vez más importante para los departamentos de TI a la hora de automatizar los procesos críticos.

Por lo tanto, un plan de mitigación debe incluir los sistemas de UPS para las estaciones de trabajo, de modo que los dispositivos no puedan apagarse en caso de un fallo de energía desde la identificación de la infección hasta las investigaciones.

Fuente: Vecdis, a partir de datos propios
Fuente: Vecdis, a partir de datos propios

¿Y qué ocurre con las “amenazas más tradicionales”?

Hasta el momento se ha hablado de los ataques fileless malware, debido a su inminente auge. Sin embargo, las amenazas más tradicionales no van a desaparecer en un futuro cercano.

Durante 2018 las infracciones de datos a gran escala, los problemas con la privacidad del consumidor y las vulnerabilidades a nivel de hardware ocuparon los titulares. En la región asiática, por ejemplo, la fuga masiva de datos de Singapur en el sector sanitario y los piratas informáticos de intercambio de criptomonedas en Japón y Corea fueron algunas de las mayores llamadas de atención sobre la protección inadecuada de los datos confidenciales.

Actualmente, el coste promedio de una violación de datos es de 7,5 millones de dólares, no obstante, se prevé que esta cifra vaya aumentando de valor año tras año. Mientras que todas las organizaciones son objetivos potenciales de los ciberataques, las industrias que poseen datos con un alto valor monetario son los objetivos más importantes, los cuales incluyen los servicios financieros, el área de la salud, el ámbito gubernamental, la automoción y sector del retail.

A pesar de que la ciberseguridad siempre se promociona como una prioridad, la fuga de SingHealthde de 1,5 millones de registros de pacientes demostraron que incluso los sectores sensibles como el área de la salud pueden carecer de una protección adecuada contra los ataques cibernéticos.

Debido al impacto en las vidas humanas, un ataque a los sistemas de salud inteligentes podría tener consecuencias significativamente mayores que una violación de datos, lo que hace que el tema de los ataques cibernéticos sea muy pertinente para las organizaciones.

Para este 2019, los ciberataques no desaparecerán, sin embargo, se irán adaptando a las nuevas situaciones modificando su forma de ataque.

Fuente: Vecdis, a partir de datos propios
Fuente: Vecdis, a partir de datos propios

Conclusiones

Dentro del elevado número de ciberataques, aquellos que se realizan sin archivo, están ganando gran auge debido a que la mayoría de las soluciones de seguridad pasadas y presentes están diseñadas para detectar malware basado en archivos. Esta brecha creciente en la protección ha llevado a un tremendo aumento de los ataques fileless malware.

Por ello es importante para las empresas definir un solido plan de mitigación, que permita monitorear todas las acciones que se están sucediendo en los dispositivos. Este plan debe ir acompañado de una serie de acciones preventivas como la autenticación en dos pasos o la mejora de contraseñas.

Sin dejar de tener en cuenta los ataques fileless malware, es importante que las organizaciones piensen en su plan de ciberseguridad para este 2019, y no dejen de lado las amenazas más tradicionales, llevadas a cabo a través de campañas de phishing, videos falsos o ataques masivos dirigidos a los dispositivos IoT ya que estos también seguirán creciendo.