Una de las ciberamenazas más recientes es la denominada malware sin archivos, un tipo de ciberataque difícil de detectar, que no ha dejado de crecer en los dos últimos años. En este artículo explicaremos en qué consiste y cómo funciona un ataque de malware sin archivos y cómo podemos protegernos ante él.
En este artículo hablamos de:
¿Qué es el malware sin archivos?
El malware sin archivos, o fileless malware, es un tipo de ciberataque difícil de detectar, puesto que no requiere de la descarga y ejecución de ningún tipo de archivo para infectar un equipo o un sistema y comprometerlo.
Relativamente nuevo, los primeros ataques de malware sin archivos datan de 2017, estamos ante uno de los tipos de malware con más crecimiento en los últimos tiempos, tal y como atestiguan diferentes informes de firmas de seguridad, que inciden en el aumento significativo de casos de malware sin archivos contra todo tipo de compañías (de acuerdo a WatchGuard Technologies, este tipo de ataques sin archivos habría aumentado casi un 900%).
Esto convierte al malware sin archivos en una de las principales amenazas para empresas y entidades públicas, más incluso que los ataques de ransomware, pese a que estos últimos aparecen más a menudo en las noticias, como el último ataque sufrido por el SEPE con el ransomware Ryuk o los últimos incidentes causados por el ransomware Wannacry.
¿Cómo funciona el malware sin archivos?
Lo que hace tan peligroso al malware sin archivos es precisamente el hecho de que no necesita de ningún tipo de carga física para ejecutarse y que apenas deja huella de su presencia. Es un malware sigiloso que consigue evadir las medidas de seguridad tradicionales de los equipos informáticos, puesto que lo que hacen es atacar software o aplicaciones legítimas para operar en el equipo.
El malware sin archivos suele «atacar» alguna de las herramientas que Windows necesita para poder trabajar, como PowerShell, y en vez de ocultarse en el disco duro, se oculta y trabaja desde la memoria RAM. Esto es lo que lo hace especialmente difícil de detectar por los antivirus y otras soluciones de seguridad tradicionales.
Además, estamos habituados a pensar que los virus entran en nuestros equipos cuando descargamos, instalamos y ejecutamos un software o archivo infectado, como cuando empiezan a aparecer ventanas de anuncios continuamente al abrir el navegador y sabemos que tenemos algún tipo de adware o malware. Sin embargo, el malware sin archivos no necesita, como hemos dicho, cargar ningún tipo de archivo en nuestro ordenador y puede infectarnos directamente desde una web maliciosa a la que hayamos entrado sin darnos cuenta.
El malware sin archivos trabaja de forma sigilosa, este código malicioso no modifica ninguno de los archivos del sistema, sino que se ejecuta a la vez que las herramientas legítimas a las que se ha unido lo hacen y dado que esas herramientas son esenciales en muchos casos para el funcionamiento del sistema operativo, siempre están activas.
Quizás estés pensando que como se ejecuta desde la memoria RAM, el malware sin archivos es un problema efímero, que desaparecerá en el momento en el que apaguemos el ordenador. Para un usuario particular es cierto. Para una empresa o entidad pública, no.
Actualmente, es habitual que grandes compañías y entidades públicas mantengan sus equipos, o parte de ellos, encendidos continuamente, de manera que si alguno está infectado con este tipo de malware, supondrá una puerta abierta para que los ciberdelincuentes sigan robando información mientras no se apague y propagándose a otros equipos de la red e incluso se utilice para desplegar otro tipo de ataque.
En ese sentido, un caso de malware sin archivos puede suponer serios problemas para cualquier compañía, tanto por la brecha de seguridad en sí y el robo de información, como por la incapacidad de detectar el ataque hasta que ya es demasiado tarde.
Tipos de ataques de malware sin archivos
Los ataques de malware sin archivos pueden clasificarse en tres tipos diferentes, en base a los que son más comunes:
- Inyección de código en la memoria: Este tipo de ataque se aprovecha de vulnerabilidades conocidas de software y aplicaciones, inyectando código malicioso en la memoria para unirse a estos y ejecutarse sin que el usuario sea consciente de ello o el antivirus lo detecte.
- Manipulación del registro de Windows: En este tipo de ataque, el código malicioso se inyecta en el registro de Windows, muchas veces desde un enlace malicioso sobre el que se ha pulsado.
- Ataques basados en scripts (o secuencias de comandos): Este tipo no es completamente un ataque de malware sin archivos, pero si operan de forma similar, puesto que se aprovechan del propio sistema operativo y sus herramientas de administración de red para comprometer el sistema. El ataque que se produce sí suele dejar huella reconocible, pero para cuando se detecta ya es demasiado tarde.
Malware sin archivos vs. Malware tradicional. Diferencias
Como ya hemos adelantado, la principal diferencia entre el malware sin archivos y el malware tradicional, es que el primero no necesita descargar y ejecutar software maliciosos o archivos infectados para comprometer el equipo. Y opera desde la memoria RAM.
Por su parte, el malware tradicional necesita descargar un archivo infectado en el ordenador del usuario y que este lo ejecute para funcionar. Se almacena en el disco duro del equipo.
Además, mientras que el malware sin archivos no deja huella reconocible de su presencia, el malware tradicional sí que tiene una huella digital que puede ser reconocida por los antivirus y otras soluciones de seguridad, por ejemplo, un gusano es un virus que estas soluciones pueden detectar, aislar y eliminar.
Malware sin archivos, una ciberamenaza en crecimiento
Dado lo difícil que resulta identificar el malware sin archivos por medidas de seguridad tradicionales, se ha convertido en una de las ciberamenazas en mayor crecimiento en los últimos años. Como ya comentamos más arriba, se producen actualmente más ataques de malware sin archivos que de ransomware.
Por su naturaleza efímera, este ataque se dirige sobre todo hacia grandes compañías y organismos públicos que necesitan mantener parte de sus equipos continuamente en funcionamiento, lo que permite la ejecución del código malicioso en el sistema, hasta que es detectado.
Dificultad para detectar los ataques de malware sin archivos
Pero, ¿por qué es tan difícil detectar estos ataques de malware sin archivos? Principalmente porque los antivirus y las soluciones de detección y respuesta de puntos finales o endpoint (EDR) no están preparados para detectar este tipo de amenazas, puesto que, por un lado, no contienen un código o firma inidentificable por estas soluciones, que escanean los equipos en busca de rastros reconocibles. Y por otro lado, aprovechan herramientas o aplicaciones legítimas para poder operar sin ser detectados, lo que permite burlar el sistema de seguridad basado en listas blancas.
Además, al ocultarse en la memoria RAM, es todavía más complicado detectarlo, especialmente porque no deja una huella digital en el almacenamiento interno del equipo ni modifica sus archivos.
Esto hace que las recomendaciones que nos ofrecen organismos de ciberseguridad como el INCIBE de antivirus o el reconocido VirusTotal se queden cortas para detectar un malware sin archivos, aunque la última sí puede ayudar a detectar una web maliciosa desde la que se despliegue este tipo de ataque.
Técnicas habituales para llevar a cabo estos ataques
Ya hemos visto que los ataques de malware sin archivos se acoplan a herramientas del sistema y operan desde la RAM, pero ¿cómo se producen?, ¿qué técnicas emplean para entrar en los equipos?
Lo cierto es que recurren a técnicas ya existentes y que otros tipos de malware emplean para infectar ordenadores, como enlaces en correos de phishing o sitios webs fraudulentos desde los que inyectan código malicioso en herramientas o aplicaciones legítimas, como el citado PowerShell o JavaScript.
También es habitual que se incluyan en documentos de Office como una macro; en este caso sí que se recurre a un archivo, pero en el momento en el que usuario abre el documento de Office y la macro se ejecuta de forma automática, el ataque pasa a la memoria, desde donde llevará a cabo el resto del ataque.
Cómo detectar y prevenir ataques de malware sin archivos
Hemos dicho que el malware sin archivos es difícil de detectar, pero eso no quiere decir que sea imposible o que no podamos prevenir este tipo de ataque.
La primera línea de defensa contra el malware sin archivos pasa por el propio usuario, es importante concienciar y formar a los empleados de una empresa u organismo público sobre los correos maliciosos, el phishing y resto de ataques de ingeniería social, así como a comprobar antes una dirección URL sospechosa y jamás descargar archivos adjuntos de correos sospechosos.
En ese sentido, deshabilitar la ejecución de macros de manera automática en Office es algo que todo usuario debería llevar a cabo.
También es importante mantener los equipos y programas actualizados siempre a su última versión, eso evitará que los ciberdelincuentes puedan aprovechar vulnerabilidades conocidas para llevar a cabo un ataque de malware sin archivos (y otros tipos de ciberataques).
Recurrir a una solución de seguridad EDR que incluya ya entre sus medidas de seguridad el análisis de comportamiento y la monitorización en tiempo real de todos los equipos y sistemas. Es decir, soluciones de seguridad que vayan más allá del escaneo del sistema de almacenamiento y comprueben también la memoria y posibles comportamientos sospechosos de aplicaciones y herramientas. Así como llevar a cabo un análisis del tráfico de red.
Así mismo, es importante que la solución de seguridad escogida permita la integración de diferentes herramientas de seguridad, para contar con un sistema de seguridad multicapa, capaz de detectar diferentes tipos de malware, incluido el malware sin archivos.
En definitiva, aunque el malware sin archivos supone una peligrosa amenaza para compañías y organismos públicos y sus ataques van en aumento, también existen soluciones de seguridad actuales capaces de detectarlo y ponerle solución, recurrir a ellas es la mejor opción para prevenir este tipo de ataques.