El Fileless Malware, o malware sin fichero, tiene diez veces más éxito

Hace unos años, casi cinco, empezó a acuñarse el término Advanced Volatine Threat, también conocido como Fileless Malware, o malware sin fichero. Su existencia se basa casi en exclusivamente en la memoria del ordenador sin llegar al disco duro; como las soluciones antivirus tradicionales dependen de la presencia de un archivo en el disco duro, este tipo de malware no sólo es difícil de detectar, sino que, al dejar muy pocas pruebas que puedan ser utilizadas por las técnicas forenses, sus actividades ilegítimas son difíciles de identificar.

No te pierdas el webinar Por una Transformación Digital Segura, porque hay que adoptar la nube, pero de forma segura, y saber en todo momento dónde están nuestros datos.

También puedes leer... Por una Transformación Digital Segura Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

¿Y a qué viene todo esto? Pues a que un informe publicado por Ponemon y titulado The 2017 State of Endpoint Security Risk dice que se ha detectado “un incremento de los ataques fileless, que explotan un gap en la seguridad endpoint tradicional”.

Explica el informe que una vez que el endpoint se ha visto comprometido, estos ataques abusan de las herramientas y procesos de administración de sistemas para conseguir mayor persistencia, elevar privilegios y expandirse lateralmente a través de la red. Se calcula que el 29% de los ataques sufridos por las empresas en 2017 estaban relacionados con Advanced Volatile Threats, frente al 20% del año pasado, y se espera que el porcentaje siga creciendo el próximo año, cuando los ataques sin ficheros representarán el 35% de todos los ataques. Que este tipo de ataques tengan diez veces más éxito que los ataques con fichero es una de las razones de ese futuro incremento de su uso.

“El éxito de los ataques sin ficheros ha erosionado la confianza de las organizaciones en sus soluciones de seguridad existentes. Menos de un tercio de los encuestados cree que su antivirus (AV) puede detener las amenazas que están viendo. Como resultado, la gran mayoría está invirtiendo en nueva tecnología”, dice el informe. Se opta por el tradicional modelo de seguridad por capas, a pesar de lo cual sólo un 54% de los encuestado cree que los ataques que están viendo pueden ser realmente detenidos.

Entre los retos, los encuestados mencionan un alto índice de falsos positivos y la complejidad de gestionar las nuevas soluciones. Es más, los falsos positivos se consideran el coste oculto más significativo de la protección endpoint al alcanzar casi el 48% de las alertas de seguridad, consecuencia directa de este aumento de los ataques sin fichero. Estando así las cosas, no sorprende que sólo el 36% de las organizaciones aseguren tener los suficientes recursos para gestionarlos.

Siguiendo con las cifras, un 42% de las empresas encuestadas para el informe experimentaron uno o más ataques sin ficheros que comprometieron sus datos o infraestructuras de TI en 2017. Ponemon Institute cifra en cinco millones de dólares el coste de un ataque contra el endpoint “lo que hace que una estrategia de seguridad endpoint sea más importante que nunca”.

La invisibilidad de los ataques sin fichero

Precisamente hace un mes publicaba Panda Security en su blog una entrada sobre este tipo de ataques. Bajo el título Malware sin fichero, ¿una amenaza indetectable? la firma de seguridad analizaba este tipo de malware.

Hacía referencia a ejemplos concretos como Phasebot, que además se vende en el mercado negro como un kit para confeccionar un virus sin fichero especializado en el robo de información; Anthrax, un virus cuya naturaleza es híbrida, lo que significa que pasa a modo “sin fichero” una vez que el ejecutable infectado ha sido abierto; o Poweliks, que fuerza al sistema a través de los servidores de mando y control (C&C) para generar un fraude de visitas forzadas y abriendo la puerta a nuevas posibilidades de infección.

Pero lo mejor es que ponía un punto de esperanza a un futuro que parece desolador: Protegerse contra el fileless malware es posible.

El secreto, dice Panda Security, “está en el comportamiento”, y asegura que el método más efectivo es monitorizar el sistema en busca de un comportamiento malicioso que alerte de procesos sospechosos.