O malware evasivo está a tornar-se a tática de eleição dos cibercriminosos. Como não pode ser detetado, permanece ativo durante mais tempo e causa maiores danos com uma exposição reduzida.
As técnicas evasivas estão a redefinir o cenário de ameaças e a levar os modelos de segurança tradicionais aos seus limites. Para além disso, as campanhas de malware avançado estão a passar por várias camadas de defesa, desde o e-mail aos endpoints, desafiando até as infraestruturas mais robustas.
Um método de destaque é o uso de técnicas Living-off-the-Land (LotL), que exploram ferramentas legítimas do sistema para realizar ações maliciosas. Ao transformar ferramentas de administração confiáveis em vetores de ataque, os adversários podem passar por defesas concebidas para detetar ameaças externas.
Da prevenção à deteção precoce
Mais de metade de todo o malware detetado era de dia zero. Nesta realidade, as defesas estáticas, como as firewalls baseadas em regras, já não são suficientes.
É aí que entram as tecnologias antimalware proativas – soluções que usam machine learning ou sandboxing dinâmico para detetar ameaças evasivas, observando como os arquivos ou programas se comportam em tempo real em ambientes isolados. Esses métodos identificam comportamentos suspeitos mesmo quando o código é novo, ofuscado ou previamente desconhecido.
Para muitas organizações, e especialmente para os fornecedores de serviços geridos (MSPs), esta mudança requer uma nova mentalidade: já não se trata de bloquear todas as ameaças, mas de detetar e responder antes que uma intrusão se transforme numa violação total.
Como é que as empresas se podem proteger?
As empresas precisam de uma estratégia de segurança assente em três pilares:
- Gestão de patches e atualizações
A cibersegurança não é um setor estático – especialmente face a malware evasivo. A gestão automatizada de patches e a auditoria contínua de vulnerabilidades devem ser incorporadas nos ciclos de vida da infraestrutura, garantindo que as defesas permaneçam eficazes ao longo do tempo e se adaptam proativamente às ameaças emergentes sem exigir intervenção manual constante.
- Visibilidade abrangente
Não pode proteger o que não pode ver. É essencial monitorizar o tráfego encriptado, a atividade do PowerShell, o comportamento dos endpoints e os eventos de rede suspeitos. Sem visibilidade total, as organizações não estão preparadas para lidar com o complexo cenário de ameaças atual.
- Defesa em camadas e integrada
A segurança não se trata de dispor de muitas ferramentas desconectadas – trata-se de integração. As soluções devem partilhar a telemetria e responder de forma coordenada. Uma abordagem XDR (Extended Detection and Response) permite que as organizações relacionemos os dados entre fontes de rede, endpoint e identidade, melhorando as capacidades de deteção e automatizando as respostas para reduzir a complexidade e acelerar a resolução.
Rumo à mudança
Para os MSPs, essa mudança também é uma oportunidade de fornecer serviços mais avançados e personalizados que garantam as necessidades defensivas atuais através de uma abordagem focada e inteligente.
Com o aumento do malware evasivo, as organizações devem evoluir. A adoção de uma postura de segurança proativa e centrada na deteção precoce, na análise profunda e na resposta controlada a incidentes já não é opcional – é essencial. É a diferença entre ser resiliente e ser exposto.
Artigo escrito pela WatchGuard para o Pplware