Os grupos APT usam muitas táticas de ataque diferentes. AV-TEST atacou produtos de segurança para empresas em 10 cenários atualmente usados com as técnicas ".Net Reflective Assembly loading", ".Net Dynamic P/Invoke" e "AMSI Bypass". Apenas metade dos produtos examinados foi capaz de suportar 100% de todos os ataques.
Os testes de proteção avançada contra ameaças são específicos, mas testam repetidamente o software de proteção contra as técnicas de ataque mais recentes dos grupos APT. Como o ".Net Reflective Assembly loading", técnica utilizada em sua forma básica em ataques de Cobalt Strike, Cuba ou Lazarus. Mas as técnicas ".Net Dynamic P/Invoke" e "AMSI-Bypass" também são populares para ataques atuais com ransomware.
🔎 Apenas 7 das 14 soluções de endpoint testadas podem se defender contra o ransomware mais recente sem erros (Imagem: AV-TEST).
Após um ataque bem-sucedido, os sistemas são criptografados e a extorsão pelos grupos APT começa. A menos que: os produtos de proteção para usuários privados e empresas reconheçam as técnicas de ataque utilizadas, interrompam o ataque e eliminem o ransomware.
Teste Avançado: soluções para empresas
Os produtos da AhnLab, Bitdefender (2 versões), Check Point, G DATA, Kaspersky (2 versões), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure e Xcitium enfrentam o teste estendido de soluções de segurança de endpoint para empresas.
Cada produto deve reconhecer a técnica de ataque e afastar o ransomware em 10 cenários. O laboratório concede 3 pontos para cada defesa completa. Os produtos da Bitdefender (versões Endpoint e Ultra), Check Point, G DATA, Kaspersky (versões Endpoint e Small Office Security) e Xcitium brilham com detecção sem erros de todos os ataques e defesa contra ransomware. Por seu desempenho, esses produtos recebem 30 pontos na pontuação de proteção.
Reconhecimento Sim - parando apenas de forma limitada
Embora a Symantec e a Microsoft também reconheçam todos os 10 cenários de ataque, eles têm um problema em um caso: eles reconhecem o ataque e também o ransomware. Ambos ainda iniciam novas etapas contra o ataque. Mas, no final, a Symantec criptografa arquivos individuais e a Microsoft criptografa até o sistema inteiro. Isso dá à Symantec 29 pontos e à Microsoft 28,5 pontos para a pontuação de proteção.
Depois disso, o campo enfraquece: AhnLab, Sangfor e WithSecure têm o mesmo problema. Em um caso, eles não reconhecem nem a técnica de ataque nem o ransomware. Por fim, o sistema é criptografado e todos os produtos perdem os 3 pontos completos para um caso: 27 pontos cada para a pontuação de proteção. As outras soluções de endpoint da Trellix e VMware obtêm apenas 24 e 22,5 pontos, respectivamente.
Mais em AV-TEST.org
Sobre AV TESTE A AV-TEST GmbH é uma fornecedora independente de serviços na área de segurança de TI e pesquisa de antivírus com foco na identificação e análise do malware mais recente e na sua utilização em testes comparativos abrangentes. A atualização dos dados de teste permite a análise rápida de novos malwares, a detecção precoce de tendências de vírus e o exame e certificação de soluções de segurança de TI. Os resultados do Instituto AV-TEST representam uma base de informações exclusiva e servem aos fabricantes para otimização de produtos, revistas especializadas para publicação de resultados e clientes finais para orientação na seleção de produtos.
A empresa AV-TEST opera em Magdeburg desde 2004 e emprega mais de 30 pessoas com profunda experiência profissional e prática. Os laboratórios são equipados com 300 sistemas de clientes e servidores nos quais mais de 2.500 terabytes de dados de teste autodeterminados de informações nocivas e não perigosas são armazenados e processados. Visite https://www.av-test.org para mais informações.