Ransomware puede haber reclamado la mayor parte de los titulares de los medios de comunicación en 2017, pero hay otro tipo de ataque que se ha vuelto cada vez más común en los últimos meses: malware sin archivos.

El malware sin archivos engañoso, furtivo e innegablemente efectivo está creciendo en popularidad a medida que los ciberdelincuentes comercian con la fuerza bruta por sigilo. Si bien algunas organizaciones afirman que el software antivirus tradicional casi no tiene en cuenta el malware sin archivos, la verdad es que muchos productos de seguridad de TI están a la altura del desafío.

Además, hay algunas cosas que puede hacer usted mismo para minimizar el riesgo de infección y limitar las consecuencias en caso de que algo pase por sus defensas. Sigue leyendo para descubrir cómo puedes protegerte de la amenaza 'invisible' que es un malware sin archivos.

¿Qué es el malware sin archivos?

El malware sin archivos tiene muchos nombres, incluidos "no malware", "malware basado en memoria" y "vivir de los ataques a la tierra". Como sea que elijas llamarlo, el malware sin archivos se refiere a un tipo especial de ciberataque que puede infectar un sistema con malware sin dejar un archivo ejecutable en el disco. No es sin archivos en el sentido de que no hay ningún archivo involucrado; más bien, el término se refiere al hecho de que, a diferencia del malware convencional, el malware sin archivos puede entregar su carga útil sin dejar caer nada sospechoso en el disco duro de una máquina.

Entonces, si el malware sin archivos no está almacenado en su disco duro, ¿dónde vive?

1. En tu RAM

La memoria de acceso aleatorio (RAM) es una forma de almacenamiento de datos de la computadora que permite que la información se almacene y recupere temporalmente. Algunas cepas de malware sin archivos pueden residir en su RAM y permanecer allí hasta que se ejecuten sin poner un pie en su disco duro. Este tipo de malware sin archivos es relativamente raro porque solo puede sobrevivir hasta que reinicie su computadora, lo que borra por completo la memoria RAM.

Si bien esto podría parecer un concepto futurista, vale la pena señalar que el malware residente en memoria ha existido de una forma u otra durante décadas. Por ejemplo, en 2001, el gusano Code Red se extendió como un reguero de pólvora, infectando casi 360,000 computadoras explotando una vulnerabilidad en los servidores web de Microsoft IIS, todo sin abandonar la memoria RAM del sistema infectado.

2. En el Registro de Windows

Teniendo en cuenta las deficiencias del malware basado en RAM, los ciberdelincuentes han desarrollado un nuevo tipo de malware sin archivos que reside en el Registro de Windows. El Registro de Windows es una enorme base de datos que almacena configuraciones de bajo nivel para el sistema operativo Windows, así como también todas las aplicaciones que usan el registro. Kovter y Poweliks son dos ejemplos de malware sin archivos que utilizan el Registro de Windows para infectar a los usuarios sin dejar ningún archivo incriminatorio en el disco.

En la mayoría de los casos, el malware se basa en el uso de herramientas nativas de Windows como PowerShell y Windows Management Instrumentation (WMI).

¿Cómo termina el malware sin archivos en su máquina? Si bien el proceso de infección puede variar entre las familias de malware, a menudo se ve más o menos así:

1. Estás navegando por la web

2. Visita un sitio que aloja un kit de exploits

3. El kit exploit explora su navegador en busca de complementos obsoletos, como Flash, Adobe, Java o Microsoft Silverlight.

4. El kit exploit intenta explotar vulnerabilidades en el plugin desactualizado

5. Si tiene éxito, el kit de explotación comienza a ejecutar la carga en la memoria del proceso de su navegador.

6. La infección es exitosa!

¿Por qué los ataques de malware sin archivos son cada vez más comunes?

El malware sin archivos va en aumento. De hecho, algunos informes estiman que hasta 4 de cada 10 empresas en los EE. UU. Se vieron comprometidas por el malware sin archivos en 2017.

¿Cuál es el responsable de esta tendencia?

Es el camino de menor resistencia. Como se señaló, el malware sin archivos no reside en el disco duro de una computadora. Algunos productos antivirus dependen únicamente de verificar los atributos del archivo para determinar si un archivo es seguro o potencialmente malicioso y no tienen en cuenta los patrones de comportamiento del ataque. El malware sin archivos tiene menos posibilidades de ser detectado que el malware convencional, lo que significa que los delincuentes tienen mayores posibilidades de éxito, ya sea que encripte sus archivos, robe sus contraseñas o algo similarmente destructivo.

Nuestros usuarios pueden estar seguros de que Emsisoft Anti-Malware hace uso de métodos avanzados de identificación de comportamiento para reconocer y detener malware regular y sin archivos. Sin embargo, no todos los productos antivirus son tan exhaustivos y, dado que no hay archivos sospechosos que revisar, muchos malware sin archivos pasan desapercibidos. Simplemente hay menos posibilidades de ser detectado.

Otro factor a culpable del aumento en los ataques de malware sin archivos es la creciente popularidad de los exploits como servicio, un fenómeno relativamente nuevo en el que los delincuentes despliegan ataques cibernéticos en nombre del comprador. Este servicio ilegal significa que incluso los delincuentes menos expertos en tecnología tienen los medios para desatar un devastador ataque de malware sin archivos en el objetivo que elijan.

Protección de malware sin archivos 101

No se puede negar que el malware sin archivos son criaturas furtivas, pero la buena noticia es que hay varias cosas que puede hacer como usuario para minimizar el riesgo de infección. Protéjase contra el malware sin archivos de la siguiente manera:

1. Mantener sus aplicaciones y sistema operativo actualizados

Una de las maneras más efectivas de mantener su sistema a salvo del malware es simplemente mantener todo su software actualizado con los últimos parches de seguridad. Hasta el 85 por ciento de todos los ataques dirigidos se pueden prevenir simplemente aplicando los últimos parches de software, según cifras del gobierno de EE. UU. Para mayor tranquilidad, asegúrese de que las actualizaciones automáticas estén habilitadas en la configuración de sus aplicaciones.

2. Deshabilitar PowerShell

Windows PowerShell es una herramienta nativa de Microsoft utilizada para la automatización de tareas y la administración de la configuración. Desafortunadamente, el malware sin archivos a menudo explota ciertas vulnerabilidades en PowerShell. Si no necesita usar PowerShell (y la mayoría de los usuarios domésticos probablemente no lo hagan), use los siguientes pasos para deshabilitarlo:

1. Presione la tecla de Windows

2. Escriba "Panel de control"

3. Abre la aplicación

4. Haga clic en Programas

5. Haga clic en Activar o desactivar las características de Windows

6. Desplácese hasta Windows PowerShell y desmarque

7. Haga clic en Aceptar

3. Controle los registros de tráfico en busca de tráfico sospechoso

Tanto el malware sin archivos como el convencional dejan pistas sobre su existencia, por lo general en forma de afectar el tráfico de su red. Si observa una actividad de la red que es sustancialmente diferente del status quo, es posible que se haya infectado.

Hay muchas herramientas que puede usar para hacer esto, incluido el Windows Firewall nativo. Consulte este artículo How-To Geek para obtener instrucciones paso a paso sobre el uso de los registros de Windows Firewall para rastrear el tráfico de red e identificar comportamientos sospechosos.

4. Use un antivirus con detección de comportamiento

Como mencionamos anteriormente, la detección de malware sin archivos puede ser una tarea desafiante para algunos productos antivirus que se centran exclusivamente en las propiedades de los archivos. Con esto en mente, es importante elegir un software antivirus que pueda analizar el comportamiento de su sistema e identificar actividades sospechosas. Al reconocer cambios en los patrones habituales de comportamiento del sistema, estas soluciones de seguridad pueden identificar actividad maliciosa y bloquear y eliminar la amenaza rápidamente.

5. Adoptar el principio de privilegio mínimo

Una piedra angular de la seguridad de TI, garantizar que cada usuario en el sistema tenga la autorización más baja necesaria para realizar su tarea. Esto ayuda a mantener el daño al mínimo en caso de que una pieza de malware sin archivos se deslice más allá de las defensas de su computadora.

¿Mi antivirus actual es suficiente para protegerme del malware sin archivos?

La noción de que el malware sin archivos es completamente invisible para los productos antivirus convencionales es poco más que marketing exagerado. Aunque no reside en el disco duro, muchas soluciones modernas de seguridad informática han evolucionado más allá del simple escaneo de archivos y son más que capaces de revelar y eliminar amenazas de malware de día cero, independientemente de dónde elijan esconderse.

Los ataques de malware sin archivos podrían ser aún más comunes en los meses y años venideros. Pero a pesar del nombre siniestro y el alarmismo de algunas organizaciones, no es menos cierto que los productos antivirus de renombre como Emsisoft Anti-Malware estarán a la altura del desafío de mantener su computadora a salvo de daños.

#malware #Antiviris