Prácticamente todo desarrollador de soluciones de seguridad de la información afirma que sus productos repelen los ataques de ransomware. Y es cierto: todos proporcionan cierto grado de protección contra el ransomware. Pero ¿es segura esa protección? ¿Son eficaces esas tecnologías?
No creas que son cuestiones banales: una protección parcial contra el ransomware no es ningún logro. Si una solución no puede frenar una amenaza en sus registros, entonces ¿dónde está la garantía de que al menos se mantengan a salvo los archivos críticos?
Dicho esto, la compañía independiente AV-Test puso a prueba 11 productos de plataformas de protección para endpoints en 113 ataques diferentes para determinar hasta qué punto protegen realmente a los usuarios. AV-Test seleccionó para la prueba a Kaspersky Endpoint Security Cloud y el resultado fue impecable. Durante las pruebas se desarrollaron tres situaciones:
Protección de archivos de usuario contra ransomware prevalente
La primera prueba simulaba el ataque de ransomware más típico, aquel en el que la víctima ejecuta malware en su ordenador y este intenta hacerse con los archivos locales. Un resultado positivo supone que la amenaza ha sido neutralizada (es decir, que se han detectado todos los archivos de malware y se han detenido los procesos de ejecución y los intentos por hacerse con el control) y todos los archivos de usuario han quedado accesibles y sin cifrar. AV-Test llevó a cabo un total de 85 pruebas en este escenario con las siguientes 20 familias de ransomware: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (también conocida como mailto), phobos, PYSA (o mespinoza), Ragnar Locker, ransomexx (o defray777), revil (o Sodinokibi y Sodin), ryuk, snatch, stop y wastedlocker.
En esta simulación, casi todas las soluciones de seguridad ejecutaron un trabajo excelente, lo cual no sorprende, ya que utilizaron familias de malware muy conocidas. Los siguientes escenarios resultaron más complicados.
Protección contra el cifrado en remoto
En esta segunda situación, el equipo protegido almacenaba archivos accesibles por toda la red local y el ataque venía de otro ordenador conectado a esta misma red (el otro equipo no contaba con una solución de seguridad, lo que permitía a los atacantes ejecutar el malware, cifrar los archivos locales y buscar información accesible en los hosts vecinos). Esta vez, las familias de malware eran: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (también conocida como defray777), revil (también Sodinokibi o Sodin) y ryuk.
La solución de seguridad, viendo un proceso del sistema manipulando archivos locales pero incapaz de ver la ejecución del malware, no pudo comprobar la reputación del proceso malicioso o del archivo que la había iniciado, ni siquiera escanear el archivo. De las 11 pruebas, solo 3 ofrecieron algún tipo de protección contra este tipo de ataque y solo Kaspersky Endpoint Security Cloud gestionó la situación a la perfección. Además, aunque el producto de Sophos se activó en el 93 % de los casos, solo protegió por completo los archivos de usuario en el 7 %.
Protección contra ransomware de prueba de concepto
La tercera situación muestra cómo los productos se enfrentan al malware que probablemente no hayan podido encontrarse antes y que, ni siquiera hipotéticamente, podría estar presente en las bases de datos de malware. Dado que los mecanismos de seguridad pueden identificar una amenaza aún desconocida simplemente por medio de las tecnologías proactivas que reaccionan al comportamiento del malware, los investigadores crearon 14 muestras de ransomware nuevas con métodos y tecnologías que los ciberdelincuentes a penas usan, además de unas técnicas de cifrado desconocidas. Al igual que con la primera situación, determinaron el éxito en la prueba teniendo en cuenta la detección y el bloqueo, incluido el mantenimiento de la integridad de todos los archivos en el equipo de la víctima y eliminando por completo todo rastro de amenaza del ordenador.
Los resultados fueron muy dispares, con algunos (ESET y Webroot) incapaces de detectar este malware personalizado y otros haciéndolo algo mejor (WatchGuard 86 %, TrendMicro 64 %, McAfee y Microsoft 50 %). La única solución que demostró el 100 % del rendimiento fue Kaspersky Endpoint Security Cloud.
Los resultados de las pruebas
Como resumen, Kaspersky Endpoint Security Cloud superó a la competencia en todas las situaciones de prueba de AV-Test, protegiendo a los usuarios contra las amenazas, tanto las conocidas y en activo como las recién creadas.
Por cierto, la segunda prueba reveló otro hecho sorprendente: la mayoría de los productos que no protegieron los archivos de los usuarios sí consiguieron eliminar los archivos de ransomware. Pero, incluso aunque no tuviéramos en cuenta el fallo, no sería una buena práctica, ya que estos archivos podrían contener información técnica que podría ayudar a los investigadores del incidente a recuperar los datos.
Puedes descargar el informe completo con una descripción detallada del malware de prueba (tanto el conocido como el creado por AV-Test), para ello rellena el siguiente formulario.