ransomware
Bijna elke ontwikkelaar van informatiebeveiligingsoplossingen beweert dat zijn producten ransomware-aanvallen afweren. Dat is waar: ze bieden allemaal een zekere mate van bescherming tegen ransomware. Maar hoe sterk is die bescherming? Hoe effectief zijn die technologieën?
Dat zijn geen nutteloze vragen: Gedeeltelijke bescherming tegen ransomware is een twijfelachtige prestatie. Als een oplossing een bedreiging niet in de kiem kan smoren, waar is dan de garantie dat hij op zijn minst kritieke bestanden veilig heeft gehouden?
Met dat in het achterhoofd heeft het onafhankelijke bedrijf AV-Test 11 producten van endpoint-beveiligingsplatforms aan 113 verschillende aanvallen onderworpen om te bepalen in hoeverre ze gebruikers daadwerkelijk beschermen. AV-Test selecteerde Kaspersky Endpoint Security Cloud voor de tests, en het product presteerde gedurende het hele proces vlekkeloos. In de tests werden drie scenario’s gebruikt:
Bescherming van gebruikersbestanden tegen heersende ransomware
In het eerste testscenario werd uitgegaan van de meest typische ransomware-aanval, waarbij het slachtoffer malware op zijn computer uitvoert en deze malware toegang probeert te verkrijgen tot lokale bestanden. Een positief resultaat betekent dat de bedreiging is geneutraliseerd (d.w.z. alle malwarebestanden zijn verwijderd, de uitvoering van processen is gestopt en alle pogingen om voet aan de grond te krijgen in het systeem zijn verijdeld), waarbij elk afzonderlijk gebruikersbestand niet-versleuteld en toegankelijk is. AV-Test voerde in totaal 85 tests uit in dit scenario met de volgende 20 ransomware-families: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (ook wel mailto), phobos, PYSA (ook wel mespinoza), Ragnar Locker, ransomexx (ook wel defray777), revil (ook wel Sodinokibi of Sodin), ryuk, snatch, stop en wastedlocker.
In dit scenario deed bijna elke beveiligingsoplossing het uitstekend, wat niet verwonderlijk is; er werd immers gebruik gemaakt van bekende malwarefamilies. De volgende scenario’s waren lastiger.
Bescherming tegen encryptie op afstand
In het tweede scenario bevatte de beveiligde machine bestanden die toegankelijk waren via het lokale netwerk, en kwam de aanval van een andere computer binnen hetzelfde netwerk (de andere computer had geen beveiligingsoplossing, waardoor de aanvallers vrij spel hadden om de malware uit te voeren, lokale bestanden te versleutelen, en vervolgens te zoeken naar toegankelijke informatie op naburige hosts). De malware-families waren: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (ook wel defray777), revil (ook wel Sodinokibi of Sodin) en ryuk.
De beveiligingsoplossing zag een systeemproces dat lokale bestanden manipuleerde, maar kon de start van de malware niet zien, en kon de reputatie van het schadelijke proces of het bestand dat het in gang zette niet controleren of het bestand scannen. Het bleek dat van de 11 testonderwerpen er slechts drie enige vorm van bescherming boden tegen dit soort aanvallen, en alleen Kaspersky Endpoint Security Cloud pakte het perfect aan. Hoewel het product van Sophos in 93% van de gevallen werd geactiveerd, werden de bestanden van de gebruiker bovendien slechts in 7% van de gevallen volledig beschermd.
Bescherming tegen proof-of-concept-ransomware
Het derde scenario laat zien hoe producten omgaan met malware die ze onmogelijk eerder zijn tegengekomen en die zelfs hypothetisch niet in malware-databanken aanwezig zou kunnen zijn. Omdat beveiliging een nog onbekende bedreiging alleen kan identificeren door middel van proactieve technologieën die reageren op het gedrag van de malware, creëerden de onderzoekers 14 nieuwe ransomware-voorbeelden die gebruikmaakten van methodes en technologieën die cybercriminelen zelden gebruiken, evenals enkele originele, nog nooit eerder vertoonde encryptietechnieken. Net als in het eerste scenario definieerden ze succes als het opsporen en blokkeren van bedreigingen, met inbegrip van het behoud van de integriteit van alle bestanden op de computer van het slachtoffer en het volledig verwijderen van alle sporen van de bedreiging op de computer.
De resultaten liepen uiteen, waarbij sommige (ESET en Webroot) de op maat gemaakte malware helemaal niet detecteerden en andere beter presteerden (WatchGuard 86%, TrendMicro 64%, McAfee en Microsoft 50%). De enige oplossing die 100% prestaties liet zien was Kaspersky Endpoint Security Cloud.
Testresultaten
Samengevat presteerde Kaspersky Endpoint Security Cloud in alle scenario’s van AV-Test beter dan zijn concurrenten en beschermde het gebruikers tegen zowel in het wild bekende als nieuw gecreëerde bedreigingen.
Het tweede scenario bracht ook nog een ander, enigszins onverwacht feit aan het licht: De meeste producten die er niet in slaagden de bestanden van gebruikers te beschermen, verwijderden desondanks wel de bestanden met het losgeldbericht. Zelfs als we het falen buiten beschouwing laten, is dat geen goede praktijk; dergelijke bestanden kunnen technische informatie bevatten die incidentenonderzoekers kan helpen gegevens te herstellen.
U kunt het volledige rapport, met een gedetailleerde beschrijving van de testmalware (zowel bekende als door de testers gecreëerde malware), downloaden nadat u dit formulier hebt ingevuld.
Tips