A protecção da sua empresa não é um ato isolado. Na guerra contra os ciberataques, é todo um processo contínuo face às ameaças em crescimento e evolução constantes. Um exemplo disso mesmo são os ataques “fileless” – ou seja, sem o uso de ficheiros – que se revelam particularmente complicados de prevenir porque não requerem que algo seja instalado antes de causar danos. Não deixam rasto e não instalam software novo no seu computador, e como tal são fáceis de passar despercebidos por antivírus, que podem geral grandes números de falsos positivos.
A ESET decidiu relembrar as principais características destes ataques e como melhor preveni-los.
1. Escondem-se em software fiável
O malware “fileless” ocorre através da memória em vez de ficheiros executáveis, derrotando assim tecnologias de prevenção contra o malware que detectam apenas ficheiros executáveis que possam trazer riscos de segurança. Os ataques podem inclusivamente usar ferramentas da Microsoft, como o PowerShell ou o Windows Management – e como muitos utilizadores de sistemas de defesa optam por escolher alertas em vez de bloquearem ataques, o risco aumenta.
2. Roubam nomes de utilizador e passwords
Os ataques exploram falhas entre a segurança tradicional e as soluções tecnológicas, e o problema começa com más práticas de segurança. Uma vez que o processo tem início, como através de um código executado ao abrir um email de “phishing” (uma tentativa de obter informação ou identificação pessoal), é estabelecida uma ligação a um servidor remoto que obtém acesso ao PowerShell, fazendo depois download de mais códigos e comandos, e executando os mesmos no computador. Uma vez em funcionamento, o acesso a nomes de utilizadores e passwords é adquirido.
3. Contas pessoais e de administração local são os alvos mais fáceis
Um grande número de recursos e acessos pode ser partilhado entre vários utilizadores numa empresa a fim de acelerar operações. Porém, quanto mais utilizadores partilharem dados deste modo, maior o potencial de vulnerabilidades. O ideal é restringir acessos e o uso de recursos, permitindo que os utilizadores desempenhem essas funções apenas quando necessário, e manter boas práticas em termos de passwords.
4. Passwords abandonadas podem ser uma mina de ouro
Se um cibercriminoso conseguir aceder à conta de um empregado ou cliente cujos acessos ainda não foram cancelados, o pior pode acontecer. Devido à natureza destes ataques “fileless”, acessos indevidos podem demorar até serem neutralizados – e quanto mais tempo passar, maior a potencial gravidade da situação. Garanta que as passwords sem uso são definitivamente canceladas e rastreie os acessos a dados sensíveis.
5. Estes ataques não são novos
Como a maioria dos vectores de ataque, os ataques “fileless” já existem há algum tempo. Tanto o Code Red como o Slammer, e até os ataques efectuados pelo grupo Fin7 usavam ataques sem ficheiros. A única novidade é que todas as etapas do processo estão a eliminar o uso de ficheiros.
É essencial entender que nem todas as ameaças são malware, pelo que se torna necessário uma avaliação contínua de práticas de segurança, e educar e treinar membros de uma empresa de modo a que possam perceber, interceptar e evitar estas tentativas de ataque.
