Na de Advanced Persistent Threat (APT) gebruiken aanvallers ook steeds vaker malware die niet op de harde schijf belandt en in korte tijd het werkgeheugen leegzuigt, zo beweert een Amerikaans beveiligingsbedrijf. De Advanced Volatile Threat (AVT) is een aanval op het werkgeheugen (RAM), in plaats van opgeslagen gegevens en applicaties, waarschuwt John Prisco van Triumfant.

"AVTs zijn die aanvallen die het op processen in het actieve geheugen hebben voorzien en daardoor niet persistent zijn, zoals met APTs het geval is", zegt Prisco. Het zijn aanvallen op het RAM die niet worden gedetecteerd door het analyseren van opgeslagen datae of bekende dreigingen. Ze zijn er, maar verdwijnen als je de machine uitschakelt en soms zelfs nog daarvoor."

De zogeheten 'RAM-schrapers' worden al jaren gebruikt, maar waren toch een bijzondere verschijning. Volgens Triumfant wint de AVT aan populariteit. Het afgelopen jaar zou zo'n 10% van de kwaadaardige code die het bedrijf analyseerde alleen in het RAM werken.

"We zien het voornamelijk bij het geclassificeerde werk dat we uitvoeren, overheden en defensie", laat Prisco tegenover Dark Reading weten.

Tactiek
De tactiek zou zich vooral goed voor gerichte aanvallen lenen waarbij aanvallers naar specifieke data zoeken en zo min mogelijk risico willen lopen om ontdekt te worden. Het doel is dan ook geen lange aanwezigheid op het netwerk, maar het snel buitmaken van gegevens. Analist Joe DeMesy stelt dat AVTs voornamelijk bij bedrijfsspionage worden ingezet.

Detectie
Het detecteren van AVTs is lastig. "Met name voor virusscanners die afhankelijk zijn van wat er op de schijf gebeurt", zegt Mark Loman van het Nederlandse beveiligingsbedrijf SurfRight tegenover Security.NL.

De waarschuwing van Triumfant heeft een commercieel motief, aangezien het bedrijf zich in de detectie van dit soort malware specialiseert en het verhaal nu via de media naar buiten brengt. Ook in de USA Today verscheen er een artikel over AVTs.

Loman zegt dat AVTs vaak onopgemerkt kunnen opereren, maar stelt dat de malware nog niet vaak wordt ingezet. "Criminelen willen de controle over hun systemen en netwerken houden." Iets wat lastig wordt als de malware na een reboot van de computer is verdwenen.