O uso ilegítimo de aplicativos para fins maliciosos é uma das tendências cibercriminosas que estão em crescimento. Esses ataques sem arquivo aumentaram 94% em 2018 e aproveitam aplicativos que já existem em sistemas operacionais, como Microsoft Office, WMI ou Adobe, para roubar dados e danificar o sistema da empresa.

Como estes ataques ocorrem?

Embora a natureza desses ataques varie, eles são especificamente projetados para não escrever no disco rígido. Em vez disso, são processos executados a partir da memória do computador (RAM). A falta de arquivos maliciosos ou potencialmente perigosos no disco rígido significa que é quase impossível para os sistemas de proteção tradicionais detectar a ameaça.

“Há uma característica que todos esses tipos de incidentes têm em comum: são muito difíceis de detectar. Isso se deve ao fato de que esses ataques não usam nenhum tipo de código, o que significa que o antivírus tradicional não pode identificá-los. Além disso, o uso de processos e aplicativos legítimos torna praticamente impossível detectar comportamentos anormais na rede”, alerta Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil

Além disso, os ataques sem arquivo frequentemente compartilham vetores de entrada. Entre os mais comuns estão aplicativos de acesso remoto, ferramentas administrativas e componentes internos do sistema operacional. Um comportamento que deve ser um sinal vermelho para uma possível atividade de ataque sem arquivo é a atividade incomum em uma CPU (especificamente, grandes aumentos no uso).

Ameaças avançadas exigem tecnologia avançada

Dado que ataques sem arquivo são difíceis de detectar, o que pode ser feito para detê-los? Uma maneira de enfrentá-los é parar de usar as ferramentas que os cibercriminosos tendem a aproveitar nesses ataques, como o PowerShell, console do sistema Windows, fechando assim potenciais vetores de entrada. Existem maneiras de defender proativamente sua organização desses ataques. No entanto, a única forma de garantir a segurança de uma organização é com tecnologia de cibersegurança avançada com Big Data, aprendizado de máquina e IoA. “É vital conhecer absolutamente tudo o que está sendo executado nos endpoints da empresa e em tempo real. A nossa solução Panda Adaptive Defense 360 monitora e classifica todos os aplicativos e binários antes e durante a exceção, garantindo que apenas arquivos executáveis confiáveis possam ser executados. Dessa forma, ela é capaz de bloquear qualquer atividade suspeita e proteger a empresa contra explorações de aplicativos e ataques Living-off-the-Land (LotL)”, completa Américo.

Os ataques sem arquivo são um perigo sempre presente para as empresas, e os cibercriminosos têm muitas maneiras de explorar os aplicativos legítimos em seu sistema.