Previsões para 2019 – Ataque “Vaporworms” sem arquivo e auto propagação
09 dez 2018
Em 2019, uma nova geração de malwares sem arquivo surgirá, com propriedades semelhantes às de um worm que permitem a auto propagação por meio de sistemas vulneráveis e evitam a detecção.
Faz mais de 15 anos que o worm Code Red se espalhou por centenas de milhares de servidores Microsoft IIS vulneráveis em um antigo exemplo de um worm sem arquivo. Desde então, tanto worms quanto malware sem arquivo afetaram redes em todo o mundo individualmente, mas raramente como um ataque combinado.
O malware sem arquivo, que é executado inteiramente na memória sem utilizar nenhum arquivo no sistema infectado, continua a crescer em popularidade. Os invasores sofisticados preferem esse método porque, sem um arquivo mal-intencionado ser analisado, os controles tradicionais de antivírus de endpoint têm dificuldade em detectar e bloquear ameaças sem arquivo. Isso resulta em maiores taxas de infecção. Combine isso com os sistemas que executam softwares sem correção e vulneráveis, prontos para a exploração de worms, e você tem uma receita para o desastre.
No ano passado, um grupo de hackers conhecido como Shadow Brokers causou danos significativos ao liberar várias vulnerabilidades de dia zero no Microsoft Windows. Levou apenas um mês para os invasores adicionarem essas vulnerabilidades ao ransomware, levando a dois dos ataques cibernéticos mais prejudiciais até o momento no WannaCry e no NotPetya. Esta não é a primeira vez que novas vulnerabilidades de dia zero no Windows alimentam a proliferação de um worm, e não será o último. No próximo ano, “vaporworms” surgirão; malware sem arquivo que se auto propaga explorando vulnerabilidades.
Felizmente, os serviços de UTM, como a solução de Intrusion Prevention Solution (IPS) da WatchGaurd, podem detectar e bloquear tentativas de exploração de vulnerabilidades, interrompendo as infecções antes que elas comecem. Além disso, no caso de uma exploração de dia zero ou não detectada, o serviço de Threat Detection and Response da WatchGuard está em condições de detectar esse tipo de comportamento suspeito e interromper a execução.
Post original: https://www.secplicity.org/2018/11/27/2019-security-predictions-fileless-self-propagating-vaporworms-attack/
