Como os cibercriminosos exploram os aplicativos legítimos da rede corporativa

Se um malware entrar em uma empresa, pode causar sérios danos. Mas, as ameaças cibernéticas também podem vir de dentro de uma organização: os chamados insiders podem causar uma longa lista de problemas de cibersegurança corporativa. E, longe de ser um problema isolado, esses incidentes aumentaram 47% em 2019. Estes casos envolvem um funcionário colocando em risco a segurança cibernética da empresa — intencionalmente ou acidentalmente. Existe, entretanto, um importante elemento interno que, à primeira vista, parece não ser motivo de preocupação: os aplicativos legítimos sendo utilizados pelos hackers.

O uso ilegítimo de aplicativos para fins maliciosos é uma das tendências cibercriminosas que estão em crescimento. Esses ataques sem arquivo aumentaram 94% em 2018 e aproveitam aplicativos que já existem em sistemas operacionais, como Microsoft Office, WMI ou Adobe, para roubar dados e danificar o sistema da empresa.
Como estes ataques ocorrem?
Embora a natureza desses ataques varie, eles são especificamente projetados para não escrever no disco rígido. Em vez disso, são processos executados a partir da memória do computador (RAM). A falta de arquivos maliciosos ou potencialmente perigosos no disco rígido significa que é quase impossível para os sistemas de proteção tradicionais detectar a ameaça.
“Há uma característica que todos esses tipos de incidentes têm em comum: são muito difíceis de detectar. Isso se deve ao fato de que esses ataques não usam nenhum tipo de código, o que significa que o antivírus tradicional não pode identificá-los. Além disso, o uso de processos e aplicativos legítimos torna praticamente impossível detectar comportamentos anormais na rede”, alerta Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.
Além disso, os ataques sem arquivo frequentemente compartilham vetores de entrada. Entre os mais comuns estão aplicativos de acesso remoto, ferramentas administrativas e componentes internos do sistema operacional. Um comportamento que deve ser um sinal vermelho para uma possível atividade de ataque sem arquivo é a atividade incomum em uma CPU (especificamente, grandes aumentos no uso).
Ameaças avançadas exigem tecnologia avançada
Dado que ataques sem arquivo são difíceis de detectar, o que pode ser feito para detê-los? Uma maneira de enfrentá-los é parar de usar as ferramentas que os cibercriminosos tendem a aproveitar nesses ataques, como o PowerShell, console do sistema Windows, fechando assim potenciais vetores de entrada. Existem maneiras de defender proativamente sua organização desses ataques. No entanto, a única forma de garantir a segurança de uma organização é com tecnologia de cibersegurança avançada com Big Data, aprendizado de máquina e IoA. “É vital conhecer absolutamente tudo o que está sendo executado nos endpoints da empresa e em tempo real. A nossa solução Panda Adaptive Defense 360 monitora e classifica todos os aplicativos e binários antes e durante a exceção, garantindo que apenas arquivos executáveis confiáveis possam ser executados. Dessa forma, ela é capaz de bloquear qualquer atividade suspeita e proteger a empresa contra explorações de aplicativos e ataques Living-off-the-Land (LotL)”, completa Américo.
Os ataques sem arquivo são um perigo sempre presente para as empresas, e os cibercriminosos têm muitas maneiras de explorar os aplicativos legítimos em seu sistema.