Los ataques sin malware o ataques malwareless son más complejos de detectar que en el caso de los ataques con malware. Los ataques malwareless han surgido como consecuencia de algunas evoluciones en la madurez del contexto: por un lado, el desarrollo de herramientas de seguridad modernas capaces de detectar todo tipo de malware; por otro, como consecuencia de una mayor concienciación en las personas que utilizan los sistemas; y, en tercer lugar, por el aumento de la frecuencia y la eficacia de las actualizaciones de seguridad.
El malwareless recurre a un sinfín de técnicas no muy complejas para perpetrar los ataques como, por ejemplo, el phishing o el smishing, que son ejemplos de técnicas de ingeniería social para manipular a las víctimas y conseguir que revelen información personal o confidencial sin necesidad de instalar ninguna aplicación externa. Dicha información suele ser recabada mediante un formulario web o contestando un simple mensaje o correo electrónico, es decir, introduciendo su recolección de información en acciones que las personas usuarias realizan habitualmente de forma rutinaria.
Otro método sería el uso de herramientas como PowerShell, exploits conocidos, Mimikatz o también los famosos Sticky Attacks que consisten en un ataque de fuerza bruta contra un servidor utilizando RDP (Remote Desktop Protocol) y por el cual se consiguen las credenciales para acceder al equipo. A partir de aquí, las organizaciones cibercriminales usan herramientas del propio sistema operativo para ocultar su presencia e instalar un backdoor o puerta trasera que les permita tomar control del sistema en cualquier momento.
Aunque la víctima sea consciente de que el sistema ha sido comprometido y cambie sus credenciales de acceso del Escritorio Remoto, el atacante puede aprovechar las Sticky keys (teclas especiales que pueden combinarse con otras para ejecutar comandos abreviados) para ingresar al equipo sin necesidad de introducir las credenciales de acceso.
El uso de estos ataques está en auge, debido a que las técnicas empleadas por el cibercrimen para atacar sin utilizar malware pueden ser muy variadas. Así, cualquier herramienta no maliciosa de uso habitual puede ser utilizada y provocar que el ataque pase desapercibido para quien tenga la responsabilidad de proteger el sistema. Por ello, se incrementan las probabilidades de éxito del ciberataque ya que es fácil que pueda pasar desapercibido y no ser detectado.
Al no tener indicios fácilmente identificables como en el caso del malware, para protegernos de los ataques malwareless es útil el empleo de completas y avanzadas técnicas como las herramientas de Threat Hunting. Dichas herramientas nos permiten monitorizar el comportamiento de los equipos y las aplicaciones que ejecutan, es decir, permiten detectar vulnerabilidades basándonos en el comportamiento de las personas usuarias. También se pueden utilizar herramientas de detección heurística que apoyen a la detección de comportamientos sospechosos.
Las herramientas de Threat Hunting basan su eficacia en realizar una búsqueda proactiva a través de los distintos sistemas e infraestructuras con el objetivo de detectar y aislar amenazas que eludan las soluciones de seguridad existentes. Esto contrasta con la naturaleza reactiva de las medidas de gestión de amenazas tradicionales, como son los sistemas de detección de intrusión y detección de malware, los firewalls o los sistemas SIEM, que suelen ir complementados por una investigación tras producirse una advertencia de un incidente o de una posible amenaza.
El objetivo del Threat Hunting es proteger a las organizaciones y asegurar los datos confidenciales de las mismas, reduciendo la superficie de exposición a las amenazas o mejorando la rapidez y precisión de la respuesta ante los ataques.
Estos ataques malwareless son los causantes de muchas fugas de información en las organizaciones atacadas. Siendo conocedores de que las organizaciones cibercriminales utilizan con mayor frecuencia este tipo de ataques, es importante tomar medidas de seguridad que nos permitan prevenirlos minimizando así sus efectos negativos.
