Los grupos APT utilizan muchas tácticas de ataque diferentes. AV-TEST atacó productos de seguridad para empresas en 10 escenarios utilizados actualmente con las técnicas ".Net Reflective Assembly loading", ".Net Dynamic P/Invoke" y "AMSI Bypass". Solo la mitad de los productos examinados pudieron resistir el 100 por ciento de todos los ataques.
Las pruebas de Advanced Threat Protection son específicas, pero prueban repetidamente el software de protección contra las últimas técnicas de ataque de los grupos APT. Como ".Net Reflective Assembly loading", una técnica utilizada en su forma básica en ataques de Cobalt Strike, Cuba o Lazarus. Pero las técnicas ".Net Dynamic P/Invoke" y "AMSI-Bypass" también son populares para los ataques actuales con ransomware.
🔎 Solo 7 de las 14 soluciones de endpoint probadas pueden defenderse contra el ransomware más reciente sin ningún error (Imagen: AV-TEST).
Después de un ataque exitoso, los sistemas se cifran y comienza la extorsión por parte de los grupos APT. A menos que: los productos de protección para usuarios privados y empresas reconozcan las técnicas de ataque utilizadas, detengan el ataque y eliminen el ransomware.
Prueba avanzada: soluciones para empresas
Los productos de AhnLab, Bitdefender (2 versiones), Check Point, G DATA, Kaspersky (2 versiones), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure y Xcitium enfrentan la prueba extendida de las soluciones de seguridad de punto final para empresas.
Cada producto debe reconocer la técnica de ataque y defenderse del ransomware en 10 escenarios. El laboratorio otorga 3 puntos por cada defensa completa. Los productos de Bitdefender (versiones Endpoint y Ultra), Check Point, G DATA, Kaspersky (versiones Endpoint y Small Office Security) y Xcitium brillan con detección sin errores de todos los ataques y defensa contra ransomware. Por su desempeño, estos productos reciben 30 puntos para el puntaje de protección.
Detección Sí: detención solo condicional
Aunque Symantec y Microsoft también reconocen los 10 escenarios de ataque, tienen un problema en un caso: reconocen el ataque y también el ransomware. Incluso ambos inician nuevos pasos contra el ataque. Pero al final, Symantec encripta archivos individuales y Microsoft incluso encripta todo el sistema. Esto le da a Symantec 29 puntos y Microsoft 28,5 puntos para el puntaje de protección.
Después de eso, el campo se debilita: AhnLab, Sangfor y WithSecure tienen el mismo problema. En un caso, no reconocen ni la técnica de ataque ni el ransomware. Finalmente, el sistema está encriptado y todos los productos pierden los 3 puntos completos por un caso: 27 puntos cada uno para el puntaje de protección. Las otras soluciones de punto final de Trellix y VMware solo obtienen 24 y 22,5 puntos respectivamente.
Más en AV-TEST.org
Acerca de AV PRUEBA AV-TEST GmbH es un proveedor independiente de servicios en el campo de la seguridad informática y la investigación de antivirus que se centra en identificar y analizar el malware más reciente y utilizarlo en pruebas comparativas exhaustivas. La actualización de los datos de prueba permite el análisis de reacción rápida de nuevo malware, la detección temprana de tendencias de virus y el examen y certificación de soluciones de seguridad de TI. Los resultados del Instituto AV-TEST representan una base de información exclusiva y sirven a los fabricantes para la optimización de productos, revistas especializadas para la publicación de resultados y clientes finales para orientarse a la hora de seleccionar productos.
La empresa AV-TEST ha estado operando en Magdeburg desde 2004 y emplea a más de 30 personas con una profunda experiencia profesional y práctica. Los laboratorios están equipados con 300 sistemas de cliente y servidor en los que se almacenan y procesan más de 2.500 terabytes de datos de prueba autodeterminados de información dañina y no peligrosa. Visite https://www.av-test.org para obtener más información.