A quantidade de ataques sem arquivo — que exploram software, aplicativos e protocolos existentes — aumentou 1.400% no último ano. É o que aponta um levantamento global da Aqua Security.
O estudo é amplo: resume pesquisas e observações sobre as táticas, técnicas e procedimentos em mudança dos cibercriminosos, além de esboçar estratégias para proteger ambientes em nuvem.
Vamos entender essa nova realidade? Continue lendo para ver:
- o que são ataques sem arquivos;
- quais circunstâncias facilitam que eles sejam concretizados;
- o que fazer para reforçar a política de cybersecurity da sua empresa para lidar com esse tipo de ameaça;
- e muito mais!
O que são ataques sem arquivos e por que eles preocupam tanto?
Os ataques sem arquivos, também conhecidos como “fileless” ou “baseados em memória”, representam uma das ameaças cibernéticas mais insidiosas e evasivas da atualidade.
Eles são diferentes dos malwares tradicionais, que dependem da instalação de softwares maliciosos no disco rígido de um computador. Operam diretamente na memória volátil do sistema, tornando-os extremamente difíceis de detectar por soluções de segurança convencionais.
Tecnicamente falando, esses ataques exploram ferramentas e processos legítimos do sistema operacional, como PowerShell, WMI ou macros do Office, para executar comandos maliciosos. Ou seja, ao invés de baixar e executar um arquivo malicioso, o atacante injeta código diretamente na memória RAM ou explora scripts e ferramentas já presentes no sistema. Isso evita deixar vestígios no disco, tornando bastante difícil a detecção por antivírus tradicionais.
A preocupação com esses ataques é ampliada pelo fato de que eles podem ser facilmente adaptados e modificados, permitindo que os cibercriminosos contornem soluções de segurança que dependem de assinaturas para identificar ameaças. Além disso, uma vez que o ataque é executado inteiramente na memória, ele desaparece após o sistema ser reiniciado, tornando a análise forense e a atribuição extremamente desafiadoras.
Para as organizações, isso representa um risco significativo.
Os atacantes podem usar essas técnicas para obter acesso a sistemas sensíveis, exfiltrar dados ou estabelecer um ponto de apoio para ataques mais amplos.
Em suma, dada a natureza evasiva desses ataques, as empresas precisam adotar uma abordagem de defesa em profundidade, combinando soluções tradicionais com ferramentas avançadas de monitoramento e análise de comportamento.
→ Leia também: Como celulares estão sendo usados para roubo de senhas.
O que está por trás do aumento significativo dos ataques sem arquivo?
Os pesquisadores da Aqua Security analisaram cerca de 700.000 ataques, focando em três áreas principais: 1) cadeia de fornecimento de software; 2) postura de risco (incluindo configurações incorretas); e 3) proteção em tempo de execução.
Vulnerabilidades em soluções SaaS
A partir disso, detectaram que os agentes de ameaças estão investindo pesadamente recursos para a detecção de suas investidas, estabelecendo uma posição mais forte em sistemas comprometidos.
Ao mesmo tempo, várias áreas na cadeia de fornecimento de software em nuvem permanecem vulneráveis a comprometimentos e representam ameaças significativas para as organizações.
Segundo o relatório da Aqua Security, com frequência os agentes de ameaças exploram pacotes de software e os utilizam como vetores de ataque para subverter a cadeia de fornecimento de software mais ampla. Isso, aponta o relatório, representa um aumento de incidentes de mais de 300% ao ano.
Técnicas sofisticadas e evasão de defesa
Ademais, de acordo com o relatório, dados coletados durante um período de seis meses mostraram que mais de 50% dos ataques se concentraram na evasão de defesa. Dentro disso, se incluem técnicas de mascaramento, como arquivos executados a partir de /tmp, e arquivos ou informações ofuscados, como carregamento dinâmico de código. E mais: em ao menos 5% dos ataques, os hackers usaram malware residente em memória.
A evidência mais persuasiva dos esforços crescentes e bem-sucedidos dos atores de ameaças para evadir a tecnologia sem agentes foi encontrada na campanha “HeadCrab”, detectada no início de 2023. “Este agente de ameaça avançada usa malware personalizado de última geração que é indetectável por tecnologias antivírus tradicionais e sem agentes”, sinaliza o relatório.
Segundo a Aqua Security, foram detectadas evidências de que o HeadCrab assumiu o controle de pelo menos 1.200 servidores Redis — alguns deles pertencentes a empresas de segurança.
→ Leia também: Como cibercriminosos estão ganhando dinheiro com e-commerce.
Como reforçar a cybersecurity da sua empresa para lidar preventivamente com ataques sem arquivo?
Em entrevista ao portal CSO, o pesquisador-chefe da Aqua Nautilus Research, Assaf Morag, recomendou a implementação de quatro etapas para mitigar as ameaças de ataques que usam evasão/ocultação para evitar defesas de segurança na nuvem.
1. Monitorar e analisar regularmente os logs
Implemente um robusto sistema de gerenciamento de logs e empregue ferramentas de gerenciamento de informações e eventos de segurança (SIEM) para detectar e responder a atividades suspeitas e tentativas de evasão potenciais.
2. Implementar a segmentação de rede
Ao segmentar redes em nuvem em zonas ou redes virtuais separadas com diferentes controles de segurança, fica mais fácil conter o impacto de um ataque bem-sucedido. Isso limita o movimento lateral dentro do ambiente em nuvem e reduz as chances de um invasor evadir com sucesso a detecção.
3. Usar sistemas de detecção e prevenção de intrusões
Os chamados IDPS (Intrusion Detection and Prevention Systems) são excelentes para monitorar o tráfego da rede e detectar padrões de ataque conhecidos. Eles sistemas podem identificar e bloquear técnicas de evasão empregadas por invasores para contornar as defesas de segurança.
4. Usar detecção de anomalias baseada em comportamento
Empregue soluções de segurança avançadas que conduzam análises de comportamento para identificar atividades anormais e desvios de padrões normais.
Isso ajuda a detectar táticas empregadas por agentes de ameaças que podem ser difíceis de identificar usando abordagens tradicionais baseadas em assinatura, incluindo técnicas de evasão de defesa.
→ Leia também: 5 exemplos de vulnerabilidade na cybersecurity.
Em resumo
Os ataques sem arquivos são uma ameaça crescente, e sua natureza evasiva torna essencial que as organizações adotem uma abordagem de defesa em profundidade.
Para os gestores de TI e executivos preocupados com a segurança da informação, é crucial estar ciente desta ameaça e tomar medidas proativas para proteger seus sistemas e dados.
A recomendação é clara: as companhias devem reforçar suas estratégias de cibersegurança, monitorando e analisando regularmente os logs, implementando a segmentação de rede, utilizando sistemas de detecção e prevenção de intrusões e adotando detecção de anomalias baseada em comportamento.
Apenas com uma abordagem abrangente e multifacetada, é possível enfrentar e mitigar eficazmente o risco apresentado pelos ataques sem arquivos.
Na sua empresa, a estratégia de cybersecurity prevê os desafios representados pelos novos tipos de ataques? Se precisar de ajuda, não hesite em fazer contato conosco!→ Algumas informações contidas neste artigo foram originalmente publicadas no portal CSO.