Quanto sono efficaci le soluzioni di sicurezza contro i ransomware?

Si sono realizzati i test di 11 soluzioni di sicurezza avanzate contro le ultime minacce di ransomware.

Quasi tutti gli sviluppatori di soluzioni per la sicurezza delle informazioni affermano che i loro prodotti combattono gli attacchi ransomware, il che è vero. Tutti forniscono un certo grado di protezione contro i ransomware. Ma quanto è forte questa protezione? Quanto sono efficaci queste tecnologie?

Queste non sono domande insignificanti: una protezione parziale contro il ransomware è un risultato discutibile. Se una soluzione non può fermare una minaccia sul nascere, allora dov’è la garanzia che sia stata in grado di tenere al sicuro i file critici?

Tenendo questo in mente, la società indipendente AV-Test ha messo alla prova 11 prodotti per piattaforme di protezione degli endpoint in 113 attacchi diversi per determinare in che misura proteggono effettivamente gli utenti. AV-Test ha selezionato Kaspersky Endpoint Security Cloud per i test, e il nostro prodotto si è comportato in modo impeccabile. I casi erano tre:

Protezione dei file dell’utente contro i ransomware prevalenti

Il primo test prevedeva il più tipico attacco ransomware, quello in cui la vittima esegue il malware sul proprio computer, e il malware cerca di arrivare ai file locali. L’esito positivo significa che la minaccia è stata neutralizzata (cioè, tutti i file del malware eliminati, l’esecuzione dei processi fermati, tutti i tentativi di prendere piede nel sistema contrastati), con ogni singolo file utente non cifrato e accessibile. AV-Test ha eseguito un totale di 85 test in questo scenario con le seguenti 20 famiglie di ransomware: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (ossia Sodinokibi o Sodin), ryuk, snatch, stop e wastedlocker.

In questo caso, quasi tutte le soluzioni di sicurezza hanno svolto un lavoro eccellente, il che non ci sorprende; sono state utilizzate famiglie di malware ben note. I casi successivi sono stati più difficili.

Protezione contro la cifratura remota

Nel test successivo, il dispositivo protetto conteneva file che erano accessibili sulla rete locale, e l’attacco proveniva da un altro computer sulla stessa rete (l’altro computer non aveva soluzioni di sicurezza, lasciando ai criminali informatici la libertà di eseguire il malware, cifrare i file locali, e poi cercare informazioni accessibili sugli host vicini). Le famiglie di malware erano: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (ossia defray777), revil (ossia Sodinokibi o Sodin), e ryuk.

La soluzione di sicurezza, vedendo un processo di sistema che manipolava i file locali, ma incapace di individuare il lancio del malware, non poteva controllare la reputazione del processo dannoso o il file che lo aveva avviato, o semplicemente scansionare il file. Degli 11 tester solo tre hanno offerto un qualche tipo di protezione contro questo tipo di attacco, e solo Kaspersky Endpoint Security Cloud lo ha gestito perfettamente. Inoltre, anche se il prodotto di Sophos è stato attivato nel 93% dei casi, ha protetto completamente i file dell’utente solo nel 7%.

Protezione contro il ransomware proof-of-concept

Il terzo test mostra come i prodotti affrontano il malware che non hanno incontrato prima e che non possono, anche ipoteticamente, essere presenti nei database del malware. Dato che la sicurezza può identificare una minaccia ancora sconosciuta solo per mezzo di tecnologie proattive che reagiscono al comportamento del malware, i ricercatori hanno creato 14 nuovi campioni di ransomware che impiegano metodi e tecnologie che i criminali informatici usano raramente, così come alcune tecniche di cifratura originali mai viste prima. Come nel primo scenario, hanno definito il successo come il rilevamento e il blocco della minaccia, compreso il mantenimento dell’integrità di tutti i file sul dispositivo della vittima e la rimozione completa di tutte le tracce della minaccia dal computer.

I risultati variano, con alcuni (ESET e Webroot) che non rilevano affatto il malware personalizzato e altri che hanno prestazioni migliori (WatchGuard 86%, TrendMicro 64%, McAfee e Microsoft 50%). L’unica soluzione che ha dimostrato il 100% di rendimento è stata Kaspersky Endpoint Security Cloud.

Risultati dei test

Per riassumere, Kaspersky Endpoint Security Cloud ha superato i suoi concorrenti in tutti i casi riguardanti gli AV-Test, proteggendo gli utenti dalle minacce sia conosciute in the wild che create di recente.

Risultati globali di tutti e tre i test trattati.

Per inciso, il secondo scenario ha rivelato un altro fatto inaspettato: la maggior parte dei prodotti che non sono riusciti a proteggere i file degli utenti hanno comunque rimosso i file delle note di riscatto. Anche volendo tralasciare il problema, questa non è una buona pratica; tali file possono contenere informazioni tecniche che potrebbero aiutare gli investigatori di incidenti a recuperare i dati.

È possibile scaricare il report completo, con una descrizione dettagliata del malware di prova (sia conosciuto che creato dai tester), dopo aver compilato questo modulo.

Consigli