Endpoint-Security: Abwehr neuester Ransomware

Endpoint-Security: Abwehr neuester Ransomware

Beitrag teilen

APT-Gruppen nutzen viele verschiedene Angriffstaktiken. AV-TEST hat Schutzprodukte für Unternehmen in jeweils 10 aktuell genutzten Szenarien mit den Techniken „.Net Reflective Assembly loading“, „.Net Dynamic P/Invoke“ und „AMSI-Bypass“ angegriffen. Nur die Hälfte der untersuchten Produkte konnte zu 100 Prozent gegen alle Angriffe bestehen.  

Die Advanced Threat Protection-Tests sind zwar speziell, aber sie prüfen Schutz-Software immer wieder mit den neuesten Angriffstechniken der APT-Gruppen. Wie etwa „.Net Reflective Assembly loading“, eine Technik die in grundlegender Form bei Angriffen von Cobalt Strike, Cuba oder Lazarus eingesetzt wird. Aber auch die Techniken „.Net Dynamic P/Invoke“ und „AMSI-Bypass“ werden gerne für aktuelle Angriffe mit Ransomware genutzt.

🔎 Nur 7 der 14 geprüften Endpoint-Lösungen können sich absolut fehlerfrei gegen neueste Ransomware wehren (Bild: AV-TEST).

Nach einem erfolgreichen Angriff sind die Systeme verschlüsselt und die Erpressung durch die APT-Gruppen nimmt ihren Lauf. Es sei denn: die Schutzprodukte für private Anwender und Unternehmen erkennen die angewendeten Angriffstechniken, stoppen den Angriff und liquidieren die Ransomware.

Advanced Test: Lösungen für Unternehmen

Dem erweiterten Test von Endpoint-Security-Lösungen für Unternehmen stellen sich Produkte von AhnLab, Bitdefender (2 Versionen), Check Point, G DATA, Kaspersky (2 Versionen), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure und Xcitium.

Jedes Produkt muss in 10 Szenarien die Angriffstechnik erkennen und die Ransomware abwehren. Für jede komplette Abwehr vergibt das Labor 3 Punkte. Mit einer fehlerfreien Erkennung aller Angriffe und der Abwehr der Ransomware glänzen die Produkte von Bitdefender (Version Endpoint und Ultra), Check Point, G DATA, Kaspersky (Version Endpoint und Small Office Security), sowie Xcitium. Für ihre Leistung erhalten diese Produkte 30 Punkte für den Schutz-Score.

Erkennung Ja – Aufhalten nur bedingt

Symantec und Microsoft erkennen zwar ebenfalls alle 10 Angriffsszenarien, haben aber in einem Fall ein Problem: sie erkennen zwar den Angriff und auch die Ransomware. Sie leiten sogar beide weitere Schritte gegen den Angriff ein. Aber am Ende sind bei Symantec einzelne Dateien verschlüsselt und bei Microsoft sogar das ganze System. Damit erhält Symantec 29 Punkte und Microsoft 28,5 Punkte für den Schutz-Score.

Danach wird das Feld schwächer: AhnLab, Sangfor und WithSecure haben alle das gleiche Problem. Sie erkennen in einem Fall weder die Angriffstechnik noch die Ransomware. Schlussendlich ist das System verschlüsselt und alle Produkte verlieren die vollen 3 Punkte für einen Fall: je 27 Punkte für den Schutz-Score. Die weiteren Endpoint-Lösungen von Trellix und VMware kommen nur auf 24 bzw. 22,5 Punkte.

Mehr bei AV-TEST.org

 


Über AV-TEST

Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.

Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.


 

Passende Artikel zum Thema

Container Security: Bedrohungen erkennen und beheben

Eine neue Container-Security-Lösung unterstützt Unternehmen dabei, Schwachstellen schneller zu erkennen und proaktiv zu reduzieren, indem sie statische Analysen mit Analysen ➡ Weiterlesen

Kompromittierte Identitäten sofort erkennen und stoppen

Menschliche und maschinelle Identitäten nehmen in Unternehmen ständig zu. Das macht es schwer, herauszufinden, ob und welche Identitäten kompromittiert sind. ➡ Weiterlesen

Schwachstellen erkennen und effizient handeln

Sicherheitsteams stehen großen Mengen an Schwachstellen- und Threat-Intelligence-Daten gegenüber. Deshalb hat Tenable neue Funktionen in seinem Vulnerability Management entwickelt, die ➡ Weiterlesen

Qilin-Ransomware stiehlt Anmeldedaten aus Chrome

Bei einer Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten ➡ Weiterlesen

Kostenfreies Portal stärkt Cybersicherheit

Mit dem Cyber JumpStart Portal Cyberrisiken identifizieren und managen und so die Cyberversicherbarkeit erhöhen. Arctic Wolf stellt allen Unternehmen eine ➡ Weiterlesen

Wer nicht zahlt: Ransomware-Gruppen machen mehr Druck

Ein neuer Report zeigt, wie die Ransomware-Gruppen Informationen zu halblegalen Aktivitäten aus gestohlenen Daten nutzen, um die Opfer zur Zahlung ➡ Weiterlesen

Index meistverbreiteter Malware im Juli 2024

Der aktuelle Threat Index zeigt, dass RansomHub weiterhin die aktivste Ransomware-Gruppe ist. Gleichzeitig haben die Forscher eine Remcos-Windows-Malware-Kampagne identifiziert, die ➡ Weiterlesen

Ransomware – Das sind die aktiven Gruppen 

Die Welt der Cyberkriminellen in Sachen Ransomware steht niemals still. Ein ständiger Wandel bringt regelmäßig neue Akteure hervor, die durch ➡ Weiterlesen