Quase todos os desenvolvedores de soluções de segurança da informação afirmam que seus produtos repelem ataques de ransomware. Isso é verdade: todos fornecem algum grau de proteção. Mas quão forte é essa defesa? Quão eficazes são essas tecnologias?
Essas não são perguntas inúteis: a proteção parcial é uma conquista duvidosa. Se uma solução não pode impedir uma ameaça em seu caminho, então onde está a garantia de que pelo menos mantém os arquivos críticos seguros?
Com isso em mente, a empresa independente AV-Test colocou 11 produtos de proteção de endpoint em 113 ataques diferentes para determinar até que ponto eles realmente protegem os usuários. O AV-Test selecionou o Kaspersky Endpoint Security Cloud para teste e nosso produto funcionou perfeitamente. Os testes usaram três cenários:
Proteção dos arquivos do usuário contra ransomware predominante
O primeiro cenário de teste previa o ataque de ransomware mais típico, em que a vítima executa malware em seu computador e este tenta acessar arquivos locais. Um resultado positivo significa que a ameaça foi neutralizada (ou seja, todos os arquivos de malware excluídos, execução de processos interrompida, todas as tentativas de ganhar uma posição no sistema frustradas), com cada arquivo do usuário não criptografado e acessível. O AV-Test realizou um total de 85 testes neste cenário com as seguintes 20 famílias de ransomware: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (também conhecido como mailto), phobos, PYSA (também conhecido como mespinoza), Ragnar Locker, ransomexx (também conhecido como defray777), revil (também conhecido como Sodinokibi ou Sodin), ryuk, snatch, stop e wastedlocker.
Nesse cenário, quase todas as soluções de segurança fizeram um excelente trabalho, o que não é surpreendente; ele usou famílias de malware conhecidas. Os próximos cenários foram mais difíceis.
Proteção contra criptografia remota
No segundo cenário, a máquina protegida continha arquivos que estavam acessíveis na rede local e o ataque veio de outro computador na mesma rede (o outro computador não tinha solução de segurança, deixando os invasores livres para executar o malware, criptografar arquivos locais e, em seguida, procurar informações sobre hosts vizinhos). As famílias de malware foram: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (também conhecido como defray777), revil (também conhecido como Sodinokibi ou Sodin) e ryuk.
A solução de segurança, vendo um processo do sistema manipulando arquivos locais, mas incapaz de ver o lançamento do malware, não conseguiu verificar a reputação do processo malicioso ou do arquivo que o iniciou – ou verificar o arquivo. Como se viu, dos 11 testados, apenas três ofereciam algum tipo de proteção contra esse tipo de ataque, e somente o Kaspersky Endpoint Security Cloud lidou com ele perfeitamente. Além disso, embora o produto da Sophos tenha sido acionado em 93% dos casos, protegeu totalmente os arquivos do usuário em apenas 7%.
Proteção contra ransomware de prova de conceito
O terceiro cenário mostra como os produtos lidam com malware que não podem ter encontrado antes e que não poderiam, mesmo hipoteticamente, estar presentes em bancos de dados de malware. Como a segurança pode identificar uma ameaça ainda desconhecida apenas por meio de tecnologias proativas que reagem ao comportamento do malware, os pesquisadores criaram 14 novas amostras de ransomware que empregaram métodos e tecnologias que os cibercriminosos raramente usam, bem como alguma criptografia original nunca vista. Como no primeiro cenário, definiram o sucesso como detecção e bloqueio de ameaças, incluindo a manutenção da integridade de todos os arquivos na máquina da vítima e a remoção completa dos vestígios da ameaça do computador.
Os resultados variaram, com alguns (ESET e Webroot) não detectando o malware personalizado e outros tendo melhor desempenho (WatchGuard 86%, TrendMicro 64%, McAfee e Microsoft 50%). A única solução que demonstrou desempenho de 100% foi o Kaspersky Endpoint Security Cloud.
Resultado dos testes
Resumindo, o Kaspersky Endpoint Security Cloud superou seus concorrentes em todos os cenários do AV-Test, protegendo os usuários contra ameaças conhecidas e criadas recentemente.
A propósito, o segundo cenário revelou outro fato um tanto inesperado: a maioria dos produtos que não protegiam os arquivos dos usuários, no entanto, removeu os arquivos de notas de resgate. Mesmo deixando de lado o fracasso, isso não é uma boa prática; esses arquivos podem conter informações técnicas que podem ajudar os investigadores de incidentes a recuperar dados.
Para receber o relatório completo com os detalhe dos testes, basta preencher o formulário: