Fileless Malware: O desafio de barrar uma ameaça crescente

Líderes da Petrobrás, Serpro e Pague Menos destacam estratégias para proteger e mitigar essa modalidade de ataque, que não é nova, mas está renovada, usando ferramentas nativas e desafiando as equipes de resposta a incidentes

Compartilhar:

De acordo com a equipe OverWatch, da Crowdstrike, que monitora atividades em massa de grupos cibercriminosos, 78% das organizações estão preocupadas com ataques do tipo Fileless Malware e 83% dos profissionais de segurança querem mais informações sobre essa investida do cibercrime.

 

Nesta modalidade de ataque, que que não executa arquivo e usa ferramentas nativas legítimas incorporadas a um sistema para efetuar um ciberataque, o criminosos obtém acesso remoto ao sistema da vítima e rouba credenciais para o ambiente que ele comprometeu, permitindo movimentos para outros sistemas. Uma vez infiltrado, o atacante implanta um backdoor que lhe permitirá retornar a este ambiente sem ter que repetir os passos iniciais do ataque.

 

Na etapa seguinte, o invasor reúne os dados que deseja e os prepara para exfiltração, copiando o que deseja, compactando e removendo dados dos sistemas das vítimas. O passo seguinte, em muitos casos, pode acabar com pedido de extorsão e pegamento de resgate.

 

O cenário é preocupante. E mesmo com uma modalidade antiga, o cibercrime segue tirando o sono dos CISOs. Na visão de Ulysses Machado, Assessor da Diretoria para LGPD no Serpro, o Fileless Malware é uma espécie de dor na Segurança da Informação, que ganhou um novo ciclo e está desafiando as equipes de resposta a incidente.

 

“No mundo da SI, existe sempre uma renovação de antigos ataques, eles sempre voltam com nova roupagem, mais sofisticados e intensos. Essa modalidade, em especial, desafia as equipes forenses na investigação do que aconteceu, pois eles usam a estrutura existente na organização, dificultando a detecção e deixando pouco vestígio”, explica o executivo do Serpro durante debate promovido pela TVD.

 

Segundo Machado, as equipes de resposta a incidentes precisam agir proativamente diante do Fileless Malware, atuando com inteligência e correlacionamento de eventos, com equipes que vasculhem dark e deep web. “É preciso sentir o cheiro do ataque para atuar de forma proativa”, completa.

 

Márcia Tosta, Gerente Executiva de Segurança da Informação da Petrobras destaca que é necessário redobrar a atenção na segurança das credenciais de acesso, já que é uma excelente porta de estrada para possíveis ataques. Segundo Márcia, em muitos casos, os incidentes são bem-sucedidos quando exploram alguma vulnerabilidade ou má gerenciamento das credenciais.

 

“Essa gestão é muito importante. Toda a equipe de identidade precisa estar muito preocupada com esse tema, revisando as políticas inúmeras vezes. Além disso, é preciso olhar para o comportamento das máquinas dos usuários, se os perfis estão corretamente desenhados e se a credencial tem o duplo fator de autenticação para evitar uma possível porta de entrada”, alerta executiva da Petrobras.

 

Para Clayton Soares, Gerente Executivo de Governança de TI e SI da Pague Menos, esse tipo de ataque vem crescendo cada vez mais, exigindo da SI novas estratégias de mitigação, além de contar com inteligência e visibilidade.

 

“Ele compromete aplicativos que estão rodando no ambiente. Diante disso, as ferramentas de detecção precisam de inteligência capaz de identificar um comportamento malicioso, inclusive com módulos de inteligência artificial, algo que identifique esses comportamentos”, diz.

 

Ele reforça que além de controlar as credenciais e contar com inteligência na detecção, é preciso falar de educação do usuário, principalmente aqueles com acesso privilegiado. “Esse tipo de ataque exige, de fato, uma renovação na forma como atuamos, é preciso contar com estratégias diferenciadas para mitigar”, completa Soares.

 

De acordo com os especialistas presentes no painel, é importante sempre olhar para a identidade do usuário e o comportamento da máquina do colaborador. O debate completo dessa discussão está disponível no canal da TVD no YouTube. Além de outros tópicos debatidos, vários insights foram gerados entre os debatedores.

 

Conteúdos Relacionados

Security Report | Destaques

Embasa acelera transformação digital e aposta em conectividade segura fim a fim

A companhia apresentou sua estratégia de modernização da infraestrutura de TI, com foco em Segurança, escalabilidade e alta disponibilidade para...
Security Report | Destaques

ATUALIZADO: Painel de incidentes destaca ocorrências mais recentes

O Painel de Ataques foi atualizado com os casos de incidentes e seus desdobramentos, envolvendo organizações como o Grupo Kering,...
Security Report | Destaques

Jaguar Land Rover adia retomada das atividades após ciberataque

Montadora afirma que investigação forense do incidente ainda não foi concluída e a recuperação das atividades ao nível global segue...
Security Report | Destaques

Grupo Kering sofre suposto ciberataque com vazamento de dados

Empresa controladora de marcas de luxo como Gucci, Balenciaga e Alexander McQueen confirmou a agências internacionais de notícias que informações...