Endpoint-Security: Abwehr neuester Ransomware

Endpoint-Security: Abwehr neuester Ransomware
Anzeige

Beitrag teilen

APT-Gruppen nutzen viele verschiedene Angriffstaktiken. AV-TEST hat Schutzprodukte für Unternehmen in jeweils 10 aktuell genutzten Szenarien mit den Techniken „.Net Reflective Assembly loading“, „.Net Dynamic P/Invoke“ und „AMSI-Bypass“ angegriffen. Nur die Hälfte der untersuchten Produkte konnte zu 100 Prozent gegen alle Angriffe bestehen.  

Die Advanced Threat Protection-Tests sind zwar speziell, aber sie prüfen Schutz-Software immer wieder mit den neuesten Angriffstechniken der APT-Gruppen. Wie etwa „.Net Reflective Assembly loading“, eine Technik die in grundlegender Form bei Angriffen von Cobalt Strike, Cuba oder Lazarus eingesetzt wird. Aber auch die Techniken „.Net Dynamic P/Invoke“ und „AMSI-Bypass“ werden gerne für aktuelle Angriffe mit Ransomware genutzt.

Anzeige

🔎 Nur 7 der 14 geprüften Endpoint-Lösungen können sich absolut fehlerfrei gegen neueste Ransomware wehren (Bild: AV-TEST).

Nach einem erfolgreichen Angriff sind die Systeme verschlüsselt und die Erpressung durch die APT-Gruppen nimmt ihren Lauf. Es sei denn: die Schutzprodukte für private Anwender und Unternehmen erkennen die angewendeten Angriffstechniken, stoppen den Angriff und liquidieren die Ransomware.

Advanced Test: Lösungen für Unternehmen

Dem erweiterten Test von Endpoint-Security-Lösungen für Unternehmen stellen sich Produkte von AhnLab, Bitdefender (2 Versionen), Check Point, G DATA, Kaspersky (2 Versionen), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure und Xcitium.

Anzeige

Jedes Produkt muss in 10 Szenarien die Angriffstechnik erkennen und die Ransomware abwehren. Für jede komplette Abwehr vergibt das Labor 3 Punkte. Mit einer fehlerfreien Erkennung aller Angriffe und der Abwehr der Ransomware glänzen die Produkte von Bitdefender (Version Endpoint und Ultra), Check Point, G DATA, Kaspersky (Version Endpoint und Small Office Security), sowie Xcitium. Für ihre Leistung erhalten diese Produkte 30 Punkte für den Schutz-Score.

Erkennung Ja – Aufhalten nur bedingt

Symantec und Microsoft erkennen zwar ebenfalls alle 10 Angriffsszenarien, haben aber in einem Fall ein Problem: sie erkennen zwar den Angriff und auch die Ransomware. Sie leiten sogar beide weitere Schritte gegen den Angriff ein. Aber am Ende sind bei Symantec einzelne Dateien verschlüsselt und bei Microsoft sogar das ganze System. Damit erhält Symantec 29 Punkte und Microsoft 28,5 Punkte für den Schutz-Score.

Danach wird das Feld schwächer: AhnLab, Sangfor und WithSecure haben alle das gleiche Problem. Sie erkennen in einem Fall weder die Angriffstechnik noch die Ransomware. Schlussendlich ist das System verschlüsselt und alle Produkte verlieren die vollen 3 Punkte für einen Fall: je 27 Punkte für den Schutz-Score. Die weiteren Endpoint-Lösungen von Trellix und VMware kommen nur auf 24 bzw. 22,5 Punkte.

Mehr bei AV-TEST.org

 


Über AV-TEST

Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.

Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.


 

Passende Artikel zum Thema

Firefly schützt Maschinenidentitäten in Cloud-nativen Workloads

Venafi, der Erfinder und führende Anbieter von Maschinenidentitäts-Management, stellt Firefly vor. Die Lösung unterstützt hochgradig verteilte Cloud-native Umgebungen. Als Teil ➡ Weiterlesen

PLAY-Gruppe: IT-Service der schweizer Polizei gehackt und Daten erbeutet

Stimmen die Informationen der PLAY-Gruppe, dann will sie 900 GByte Daten erbeutet haben bei Xplain, einem schweizer IT- und Software-Service, ➡ Weiterlesen

Neue Studie: Web-Shells sind Top-Einfallsvektor

Die Zahl von Angriffen über Web-Shells ist in den ersten drei Monaten 2023 überdurchschnittlich stark angestiegen. Das zeigt der Cisco ➡ Weiterlesen

QR-Code Phishing-Sicherheitstest-Tool

KnowBe4 bietet ab sofort ein ergänzendes QR-Code-Phishing-Sicherheitstest-Tool an, das Benutzer identifiziert, die Opfer von QR-Code-Phishing-Angriffen werden. Das kostenlose Tool (QR ➡ Weiterlesen

Ransomware-Report: LockBit zielt auf macOS

LockBit, die aktuell aktivste Ransomware-Gruppe, weitete seine Aktivitäten im April auf macOS-Geräte aus. Weiterhin werden Schwachstellen der Druckersoftware PaperCut aktiv ➡ Weiterlesen

China-Malware: Volt Typhoon zielt auf kritische USA Infrastruktur

Microsoft hat die Malware Volt Typhoon untersucht und festgestellt das diese von einem staatlich geförderten Akteur mit Sitz in China ➡ Weiterlesen

SOCs: Anstieg gefundener Cyberangriffe um das 1,5-fache

In seinem neuen Managed Detection and Response Analyst Report von Kaspersky gibt es einige wichtige Erkenntnisse: So stieg die Anzahl ➡ Weiterlesen

Lockbit erbeutet 700 GByte Daten bei MCNA mit 9 Mio. Kunden

MCNA Dental, der größte nordamerikanische Versicherer für Zahnpflege musste alle seine fast 9 Millionen Kunden über einen Verlust von 700 ➡ Weiterlesen