Malware sin archivos: cómo protegerse de esta amenaza

Un reciente boletín de seguridad de la empresa ESET advierte sobre el malware sin archivos. Esta modalidad de amenaza resulta especialmente difícil de detectar. En esta nota te informamos sobre estos riesgos a la seguridad de la información.

¿Qué es el malware sin archivos?

El malware tradicional suele instalarse en los discos duros. En contraste, el malware sin archivos opera exclusivamente en la memoria RAM de un sistema. Esto lo convierte en una amenaza difícil de detectar y neutralizar.

El malware convencional depende de archivos ejecutables. En cambio, el malware sin archivos utiliza y manipula procesos legítimos del sistema operativo para ejecutar su código malicioso. Es decir, no necesita instalarse ni guardar archivos en el disco duro. Al no dejar rastros físicos, evita ser detectado por herramientas de seguridad que analicen archivos en busca de anomalías. Este tipo de ataques son particularmente peligrosos. Esto es porque aprovechan vulnerabilidades del sistema y programas ya instalados, en lugar de introducirse como un archivo adicional.

“Utilizando herramientas legítimas del sistema, como PowerShell o servicios internos de Windows, el malware sin archivos puede ejecutar su código malicioso sin que el usuario se percate. De esta manera, las defensas tradicionales de los endpoints, que dependen del escaneo de archivos, no siempre son suficientes para detener estas amenazas”. —Josep Albors, director de investigación y concienciación de ESET España.

Casos conocidos

1. Powersniff (también conocido como Poshspy)

• Descripción. Un malware que utiliza PowerShell para ejecutar comandos maliciosos directamente desde la memoria.
• Método de infección. Normalmente, se propaga a través de documentos maliciosos de Microsoft Office con macros activadas. Estos scripts utilizan PowerShell para ejecutar cargas útiles sin escribir archivos en el disco.
• Año. Varias campañas desde 2014.

2. DarkVishnya

• Descripción. Un ataque dirigido a instituciones financieras en Europa del Este, donde los atacantes conectaron dispositivos físicos (como Raspberry Pi o laptops) a las redes internas.
• Método de infección. Se utilizaron herramientas ya presentes en el sistema, como PowerShell, para acceder a los sistemas bancarios y mover dinero, evitando la detección al no instalar software adicional.
• Año. Detectado en 2018.

3. FIN7 (Carbanak)

• Descripción. Un grupo de cibercriminales conocido por ataques a cadenas de restaurantes y empresas financieras. Utilizan técnicas de malware sin archivos, ejecutando scripts en memoria mediante PowerShell y Windows Management Instrumentation (WMI).
• Método de infección. A través de spear phishing, correos con adjuntos maliciosos que ejecutan scripts en la memoria, permitiendo la exfiltración de datos sin instalar software malicioso.
• Año. Activo desde 2015, con una gran variedad de técnicas sin archivos.

4. Emotet

• Descripción. Aunque Emotet comenzó como un troyano bancario, ha evolucionado para emplear técnicas sin archivos durante algunas fases de sus ataques.
• Método de infección. Usa macros en documentos de Office para ejecutar scripts en memoria. También utiliza herramientas como PowerShell para descargar y ejecutar otras cargas útiles sin escribir en el disco.
• Año. Notable en 2018-2021, antes de ser desmantelado por fuerzas de seguridad.

5. Attackers leveraging EternalBlue (WannaMine)

• Descripción. Utiliza el exploit EternalBlue (que también fue usado por WannaCry) para ejecutar código en la memoria de los sistemas vulnerables.
• Método de infección. Se propaga lateralmente a través de la red utilizando WMI y PowerShell para ejecutar scripts sin escribir nada en el disco. Se centra en minería de criptomonedas.
• Año. Activo desde 2017, con variaciones más recientes.

Un caso más es el de la campaña de malware detectada por ESET de Astaroth. Esta utilizó un método sin archivos para robar información a través de correos electrónicos maliciosos. Al interactuar con estos correos, el malware aprovechaba herramientas internas de Windows, como BITSAdmin y Alternate Data Streams, para evadir la detección y ejecutar su código malicioso.

Otro ejemplo significativo es el malware Kovter. También fue detectado por primera vez por ESET. Este malware almacenaba su carga maliciosa cifrada en el registro de Windows. Del mismo modo, la familia de malware GreyEnergy también se aprovechaba del uso de técnicas sin archivos, asegurando que algunos de sus módulos solo se ejecutaran en la memoria, complicando aún más su detección.

Estas campañas son algunos ejemplos de cómo el malware sin archivos ha evolucionado. Muestran cómo se aprovechan herramientas legítimas del sistema operativo para operar de manera sigilosa.

Protección ante el malware sin archivos

Protegerse contra el malware sin archivos requiere un enfoque diferente al de las amenazas tradicionales, ya que este tipo de malware no deja rastros evidentes en el disco y se ejecuta principalmente en la memoria o mediante el abuso de herramientas del sistema legítimas como PowerShell, WMI o scripts.

Para combatir estas avanzadas amenazas, las soluciones de ciberseguridad han evolucionado hacia un enfoque multicapa.

Para proteger tu infraestructura de este tipo de riesgo, se recomienda adoptar algunas políticas, como las siguientes.

1. Monitorización y restricción de PowerShell y WMI

• Uso de PowerShell. Limita su uso a usuarios y administradores que realmente lo necesiten. Además, habilita el registro de transcripciones de PowerShell (PowerShell ScriptBlock Logging) para monitorear su actividad y detectar comportamientos anómalos.
• Bloqueo de WMI. Si no es necesario para ciertas funciones en tu red, deshabilita WMI o restringe su uso. También puedes monitorizar la actividad de WMI en busca de accesos inusuales.

2. Segmentación de la red

• Aislamiento de recursos. Mantén separadas las redes internas para reducir el movimiento lateral. Si un ataque sin archivos compromete un sistema, el malware no podrá propagarse fácilmente si las redes están segmentadas.
• Zero Trust Network. Implementa políticas de acceso restringido basadas en el principio de confianza cero, verificando continuamente los usuarios, dispositivos y aplicaciones antes de otorgarles acceso.

3. Protección y endurecimiento de endpoints

• Actualizaciones regulares. Mantén todos los sistemas operativos y software actualizados con los últimos parches de seguridad. Las campañas sin archivos a menudo explotan vulnerabilidades conocidas que pueden ser bloqueadas con un mantenimiento adecuado.
• Protección contra exploits en memoria: Herramientas avanzadas de seguridad como EDR (Endpoint Detection and Response) o antivirus con detección en memoria pueden identificar comportamientos sospechosos como la ejecución de scripts anómalos en la memoria.
• Desactivar macros. Restringe la ejecución de macros en aplicaciones de Office a menos que provengan de fuentes confiables. Muchas campañas de malware sin archivos comienzan con la ejecución de macros maliciosas.

4. Registro y monitoreo continuo

• Detección basada en comportamiento: Los sistemas de detección basados en comportamiento, como los SIEM (Security Information and Event Management), pueden identificar patrones anómalos, como comandos ejecutados en PowerShell o conexiones inusuales entre máquinas.
• Supervisión de la memoria. Implementar soluciones que monitoreen el comportamiento en la memoria (como algunas herramientas EDR) ayuda a identificar procesos sospechosos o cargas útiles ejecutadas sin archivos.

5. Control de aplicaciones (Application Whitelisting)

• Limita la ejecución de aplicaciones solo a aquellas aprobadas y firmadas digitalmente. Esto puede prevenir que scripts y ejecutables no autorizados se ejecuten, como los scripts de PowerShell maliciosos.

6. Protección en el correo electrónico

• Bloqueo de adjuntos peligrosos. Implementa filtros de correo para bloquear tipos de archivo peligrosos (como .exe, .bat, .ps1) y adjuntos que incluyan macros.
• Análisis de enlaces y archivos adjuntos. Utiliza servicios de sandboxing o análisis automático de los correos electrónicos entrantes, especialmente aquellos que contienen adjuntos o enlaces sospechosos.

7. Conciencia y formación de los usuarios

• Formación regular. Educa a los empleados sobre los riesgos del malware sin archivos y la importancia de no habilitar macros o ejecutar archivos desconocidos. Las campañas de phishing son una de las principales vías de entrada para estas amenazas.
• Pruebas de phishing. Realiza simulaciones periódicas de ataques de phishing para que los usuarios se familiaricen con las tácticas utilizadas por los atacantes.

8. Políticas de acceso y privilegios mínimos

• Acceso mínimo necesario. Aplica el principio de privilegios mínimos, asegurándote de que los usuarios y aplicaciones solo tengan los permisos estrictamente necesarios. Esto reduce la exposición en caso de un ataque.
• Control de cuentas administrativas. Limita el uso de cuentas administrativas y evita que tengan acceso directo a la ejecución de comandos como PowerShell a menos que sea absolutamente necesario.

Implementar una combinación de estas medidas ayuda a reducir la exposición a ataques sin archivos y a mejorar la capacidad de respuesta ante estas amenazas. La clave está en monitorizar el comportamiento anómalo y en limitar el uso de herramientas de administración del sistema que los atacantes pueden explotar.

¿Qué sistemas operativos se ven afectados por el malware sin archivos?

El malware sin archivos ha afectado principalmente a sistemas operativos que proporcionan herramientas avanzadas para la automatización y administración remota. Los sistemas más afectados suelen ser aquellos que permiten ejecutar comandos directamente en la memoria, como scripts de PowerShell o WMI. A continuación, se mencionan los sistemas operativos más vulnerables a este tipo de amenazas:

1. Windows

• Más afectado. El malware sin archivos ha afectado mayoritariamente a Windows, especialmente versiones de escritorio y servidores, como Windows 7, 8, 10 y versiones de Windows Server.
• Razones.
  • Uso masivo de herramientas como PowerShell, Windows Management Instrumentation (WMI) y registro de eventos de Windows, que los atacantes explotan para ejecutar comandos en la memoria sin escribir archivos en disco.
  • Muchas campañas de malware sin archivos, como Astaroth, Kovter, FIN7, y Powersniff, han utilizado PowerShell para ejecutar código malicioso.
  • Los sistemas corporativos que usan Windows son un objetivo frecuente, ya que permiten la administración remota y el acceso a datos críticos.

2. Linux

• Menos común, pero afectado. Aunque no tan común como en Windows, algunos ataques sin archivos han afectado a sistemas Linux. Los atacantes explotan herramientas como Bash y Python para ejecutar código directamente en la memoria.
• Ejemplos.
  • Algunas versiones de Rootkits sin archivos han sido diseñadas para ejecutarse en la memoria de sistemas Linux, evitando la detección por herramientas de seguridad tradicionales.
  • Malware como Mirai y algunas variantes de troyanos orientados a criptominería han explotado vulnerabilidades en servicios en Linux para ejecutar código sin archivos.

3. macOS

• Casos aislados: macOS ha sido menos afectado por malware sin archivos en comparación con Windows, pero no está exento.
• Razones.
  • Los atacantes han utilizado scripts de shell y aplicaciones legítimas manipuladas para ejecutar código malicioso en la memoria.
  • Aunque macOS no es el principal objetivo, ha habido campañas que explotan herramientas como AppleScript o la ejecución de comandos en terminal.

4. Android

• Algunas amenazas emergentes. En dispositivos móviles, como los que ejecutan Android, ha habido informes de malware que utiliza técnicas sin archivos.
• Ejemplo.
  • Algunos troyanos móviles han utilizado la memoria para descargar y ejecutar código sin archivos, aprovechando vulnerabilidades del sistema operativo y ejecutándose en segundo plano.
• Razones. Android es un objetivo por la gran cantidad de dispositivos en el mercado, pero las técnicas son más limitadas en comparación con los sistemas de escritorio.

5. Sistemas Embebidos y IoT

• Creciente amenaza. Con la expansión del Internet de las Cosas (IoT) y sistemas embebidos, los dispositivos que utilizan sistemas operativos reducidos (como Linux embebido) son cada vez más vulnerables a malware sin archivos.
• Ejemplo.
  • Algunos ataques, como el malware de minería de criptomonedas, utilizan dispositivos IoT para ejecutar código malicioso directamente en la memoria.
  • Los dispositivos con firmware vulnerable o servicios expuestos al internet pueden ser utilizados para ejecutar código sin archivos, sin dejar rastros en el almacenamiento del dispositivo.

6. Sistemas Windows antiguos o sin soporte

• Mayor vulnerabilidad. Las versiones de Windows que ya no reciben actualizaciones de seguridad, como Windows XP o Windows 7 sin soporte extendido, son especialmente vulnerables, ya que muchas campañas de malware sin archivos explotan vulnerabilidades antiguas.
• Ejemplos. Ataques como WannaMine, que explotan vulnerabilidades como EternalBlue, han afectado a sistemas sin actualizaciones.

En resumen, Windows es el sistema operativo más afectado por las amenazas de malware sin archivos debido a su uso masivo en entornos corporativos y la disponibilidad de herramientas como PowerShell y WMI. Sin embargo, otros sistemas como Linux, macOS, Android y dispositivos IoT también pueden ser objetivos de este tipo de ataques, aunque en menor medida. La diversidad de sistemas que se ven afectados muestra que el malware sin archivos no se limita a una sola plataforma, sino que depende de la explotación de herramientas nativas y vulnerabilidades del sistema.

Impacto económico del malware sin archivos

Las afectaciones económicas provocadas por el malware sin archivos han sido difíciles de cuantificar con precisión debido a la naturaleza sigilosa de estos ataques. Sin embargo, varias estimaciones generales indican que los costos asociados con este tipo de ciberataques son elevados, dado que estos malwares son más difíciles de detectar y mitigar que los tradicionales. Algunos informes han brindado estimaciones de los impactos económicos de los ataques basados en malware sin archivos, combinándolos con el costo de otros tipos de cibercrimen.

Aquí tienes algunas estimaciones e informes que reflejan el impacto económico:

1. Aumento significativo del uso de malware sin archivos

• Según un informe de WatchGuard en 2021, aproximadamente el 91% de todos los ataques en 2020 implicaron algún componente sin archivos, lo que muestra un crecimiento explosivo de este tipo de amenaza en los últimos años. Esto hace que los costos económicos asociados con los ciberataques sin archivos sean cada vez mayores.

2. Costos generales del cibercrimen

• El Informe de Cibercrimen 2020 de Accenture estimó que el costo promedio anual del cibercrimen para una organización era de aproximadamente 13 millones de dólares, con un aumento anual del 12%. Dentro de este panorama, el malware sin archivos representa una proporción creciente debido a su alta efectividad y dificultad para detectar.
• Aunque no todos estos costos están directamente vinculados al malware sin archivos, las campañas más dañinas suelen emplear técnicas sin archivos para evitar la detección.

3. Costo de las detecciones de malware sin archivos

• Ponemon Institute, en su informe de Costos de amenazas avanzadas persistentes (APT) en 2020, señaló que los ataques con malware sin archivos son 10 veces más efectivos que los malwares tradicionales en términos de evitar la detección. Esto ha llevado a las empresas a invertir más en herramientas avanzadas de detección, lo que incrementa los costos.
• El costo promedio de recuperación de un ataque sofisticado como los que involucran malware sin archivos es típicamente de cientos de miles de dólares por incidente. Este costo incluye la detección, mitigación, interrupción de operaciones y la recuperación de datos.

4. Impacto del ransomware sin archivos

• Algunas variantes de ransomware emplean técnicas sin archivos. Según Cybersecurity Ventures, el ransomware en su conjunto causó daños estimados de 20 mil millones de dólares en 2021, y una porción significativa de estos ataques usó técnicas sin archivos o componentes sin archivos durante las fases iniciales del ataque.
• Las técnicas sin archivos permiten que el ransomware evada las defensas tradicionales durante la fase de infiltración, lo que aumenta los costos para las empresas, ya que pueden pasar más tiempo sin detectar la amenaza, incrementando la encriptación de archivos y las demandas de rescate.

5. Informe de Sophos sobre el costo del malware sin archivos

• Sophos publicó un informe en 2021 señalando que los ataques que involucran malware sin archivos tienden a generar un 50% más de daño financiero en comparación con los ataques de malware tradicional, debido al tiempo prolongado que los atacantes pueden operar sin ser detectados.
• En un incidente típico que afecta a una empresa de tamaño mediano, se estimó que los costos pueden oscilar entre 500,000 y 1 millón de dólares, considerando interrupciones del negocio, pérdida de datos y el tiempo necesario para recuperar los sistemas.

6. Costos de incidentes relacionados con el grupo FIN7

• El grupo FIN7, conocido por ataques sofisticados y por utilizar técnicas sin archivos, ha causado millones de dólares en pérdidas a grandes empresas, especialmente en los sectores financiero y de hospitalidad. Solo uno de sus ataques, que involucró la exfiltración de datos de tarjetas de crédito, causó pérdidas estimadas de decenas de millones de dólares a las empresas afectadas.

7. Impacto en infraestructura crítica y grandes corporaciones

• Algunas campañas dirigidas a instituciones financieras y grandes corporaciones que usan malware sin archivos han generado pérdidas millonarias por cada ataque, debido a la interrupción del negocio, daños a la reputación, costos legales y sanciones regulatorias.
• Por ejemplo, ataques a bancos en Europa del Este con técnicas sin archivos, como DarkVishnya, causaron pérdidas estimadas de decenas de millones de dólares debido a la sustracción de fondos y los costos de remediación.

8. Costos ocultos y mitigación

• Dado que el malware sin archivos no deja rastros en el disco, el costo de investigación forense y remediación es generalmente más alto que en ataques convencionales. Las empresas deben invertir en herramientas especializadas y en personal con habilidades avanzadas, lo que aumenta significativamente los gastos de mitigación.

En resumen, los costos asociados con el malware sin archivos pueden variar ampliamente según el tamaño de la organización afectada, el tipo de ataque y el tiempo que los atacantes operen sin ser detectados. Sin embargo, es evidente que estos ataques suelen ser más costosos de detectar y remediar que los ataques tradicionales, debido a la necesidad de soluciones avanzadas y el mayor daño que pueden causar a las infraestructuras críticas y a los negocios.

Para saber más

Casos de malware sin archivos:

1. Astaroth Campaign
   • Informe de seguridad de Microsoft Defender ATP sobre las tácticas utilizadas en la campaña Astaroth.
   • Microsoft Security Intelligence. (2019). Astaroth Fileless Malware Campaign.
2. Kovter
   • Symantec. (2016). Kovter: A Fileless Malware Threat. Blog de Symantec Security Response.
   • Symantec. (2016). Kovter’s Evolution to Fileless Malware.
3. Powersniff (Poshspy)
   • Palo Alto Networks. (2015). Fileless Malware and PowerShell: Techniques and Mitigation.
   • Palo Alto Networks. (2015). PowerSniff: How Fileless Malware Uses PowerShell.
4. DarkVishnya
   • Kaspersky Lab. (2018). DarkVishnya: The Attacks Against Financial Institutions in Eastern Europe.
   • Kaspersky Lab. (2018). DarkVishnya Attacks.
5. FIN7 (Carbanak)
   • CrowdStrike. (2018). FIN7: Fileless Malware Techniques and Tactics.
   • CrowdStrike. (2018). FIN7: Carbanak Group’s Fileless Techniques.
6. Emotet
   • Trend Micro. (2018). Emotet Evolution: From Banking Trojan to Fileless Malware.
   • Trend Micro. (2018). Emotet’s Shift to Fileless Techniques.
7. WannaMine (EternalBlue)
   • Sophos. (2017). WannaMine: Fileless Malware Using EternalBlue.
   • Sophos. (2017). WannaMine Cryptocurrency Mining Malware.

Estimaciones económicas

1. WatchGuard Informe 2021
   • WatchGuard Technologies. (2021). Internet Security Report Q1 2021.
   • WatchGuard. (2021). Fileless Malware Growth.
2. Accenture 2020 Cost of Cybercrime Report
   • Accenture. (2020). The Cost of Cybercrime 2020. Estimaciones de pérdidas y costos relacionados con el cibercrimen.
   • Accenture. (2020). Cost of Cybercrime 2020.
3. Ponemon Institute – Cost of APT Attacks
   • Ponemon Institute. (2020). Cost of Advanced Persistent Threats (APT) and Fileless Malware.
   • Ponemon Institute. (2020). Ponemon APT Cost Study.
4. Cybersecurity Ventures – Ransomware Costs
   • Cybersecurity Ventures. (2021). Global Ransomware Damage Costs Predicted to Reach $20 Billion by 2021.
   • Cybersecurity Ventures. (2021). Ransomware Damage Report.
5. Sophos Informe 2021 sobre Fileless Malware
   • Sophos. (2021). Fileless Malware in 2021: Threat Report.
   • Sophos. (2021). Sophos Fileless Malware Report.
6. FIN7 Economic Impact
   • DOJ (U.S. Department of Justice). (2018). Indictment of FIN7 (Carbanak). Detalles sobre los daños causados por el grupo.
   • DOJ. (2018). FIN7 Indictment Press Release.
7. Kaspersky DarkVishnya Attack Losses
   • Kaspersky Lab. (2018). DarkVishnya: Attacks on Eastern European Banks.
   • Kaspersky. (2018). DarkVishnya Bank Losses.

Nota motivada por el artículo: Malware sin archivos: cómo protegerse de esta amenaza que desafía las defensas tradicionales