Wie effektiv sind Sicherheitslösungen bei Ransomware?

Fast alle Entwickler von IT-Sicherheitsprodukten geben an, dass ihre Produkte Angriffe mit Ransomware, bzw. Erpressungssoftware abwehren können. Und diese Behauptung ist auch richtig: Bis zu einem bestimmten Grad, bieten alle Sicherheitslösungen Schutz gegen Ransomware. Aber wie wirksam ist der Schutz wirklich? Wie effektiv sind die angewendeten Technologien?

Das sind durchaus berechtigte Fragen: Ein Teilschutz gegen Erpressersoftware ist schließlich eine fragwürdige Leistung. Wenn eine Sicherheitslösung eine Bedrohung nicht im Keim ersticken kann, wie kann dann der Schutz von wichtigen Dateien gewährleistet werden?

Unter der Berücksichtigung dieser Aspekte hat AV-Test 11 Produkte von Cybersecurity-Plattformen für Endgeräteschutz mit 113 verschiedenen Angriffen getestet, um festzustellen, inwieweit die Benutzer wirklich geschützt werden. Auch Kaspersky Endpoint Security Cloud wurde von AV-Test für diese Untersuchung ausgewählt und unser Produkt erbrachte fehlerfreie Leistung. Es wurden drei verschiedene Testszenarien verwendet:

Schutz der Benutzerdateien gegen gängige Ransomware

Im ersten Testszenario wurde ein typischer Ransomware-Angriff simuliert, in dem das Opfer die Malware auf seinem Rechner ausführt und die Schadware versucht an die lokal gespeicherten Dateien heranzukommen. Fällt das Ereignis positiv aus, bedeutet das, dass alle Dateien auf dem Computer unverschlüsselt und zugänglich sind und der Angriff neutralisiert wurde (d. h. alle Malware-Dateien wurden gelöscht, die Ausführung der Prozesse gestoppt und sämtliche Versuche der Schadware sich im System einzunisten vereitelt). AV-Test führte insgesamt 85 Tests mit diesem Szenario und den folgenden 20 Ransomware-Familien durch: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (alias mailto), phobos, PYSA (alias mespinoza), Ragnar Locker, ransomexx (alias defray777), revil (alias Sodinokibi oder Sodin), ryuk, snatch, stop und wastedlocker.

Bei diesem Testszenario erbrachten fast alle Sicherheitslösungen eine glänzende Leistung, was nicht verwunderlich ist, denn es handelt sich um bekannte Malware-Familien. Das nächste Testszenario war etwas schwieriger.

Schutz gegen Verschlüsselung aus der Ferne

Im zweiten Szenario waren auf dem geschützten Gerät Dateien gespeichert, auf die über ein lokales Netzwerk zugegriffen werden konnte und der Angriff wurde über einen anderen Computer desselben Netzwerkes durchgeführt (dieser Computer war nicht mit einer Sicherheitslösung geschützt und dadurch ist es Angreifern möglich darauf Malware auszuführen, lokale Dateien zu verschlüsseln und zugängliche Daten in anderen Geräten des Netzwerkes zu suchen). Es wurden folgende Malware-Familien für den Test eingesetzt: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (alias defray777), revil (alias Sodinokibi oder Sodin) und ryuk.

In diesem Szenario erkennt die Sicherheitslösung zwar, dass ein Systemprozess lokale Dateien verarbeitet, aber nicht, wo die Malware gestartet wurde. Dementsprechend kann weder die Reputation des schädlichen Prozesses überprüft noch festgestellt werden, welche Datei den Prozess gestartet hat. Außerdem ist das Scannen der Malware-Datei nicht möglich. Es stellte sich heraus, dass von den elf getesteten Produkten nur drei davon einen gewissen Schutz vor dieser Art von Angriffen bieten konnte und nur Kaspersky Endpoint Security Cloud den Angriff perfekt abgewehrt hat. Zum Beispiel reagierte das Produkt der Cybersecurity-Plattform Sophos Central in 93 % der Fälle, bot aber nur in 7 % vollkommenen Schutz für die Dateien des Benutzers.

Schutz gegen hypothetische Ransomware-Angriffe

Im dritten Testszenario wurde geprüft, wie die Produkte auf Malware reagieren, auf die sie noch nie gestoßen sind und die keinesfalls – noch nicht einmal hypothetisch – in den Datenbanken der Sicherheitslösungen gespeichert sein kann. Weil Sicherheitsprodukte bisher unbekannte Bedrohungen nur durch proaktive Technologien identifizieren können, die auf das Verhalten der Malware reagieren, haben die Forscher 14 neue Ransomwares entwickelt. Die Methoden für diese Ransomware-Exemplare umfassen Technologien, die selten von Cyberverbrechern verwendet werden und sogar einige Original-Verschlüsselungstechniken, die noch nie zuvor zum Einsatz kamen. Genau wie beim ersten Szenario, wurde Erfolg durch Folgendes definiert: Erkennen und Blockieren der Malware, vollkommener Schutz aller Dateien auf dem Gerät des Benutzers und das hundertprozentige Entfernen jeglicher Spuren der Bedrohung auf dem Computer.

Die Ergebnisse fielen unterschiedlich aus: Einige Produkte (ESET und Webroot) entdeckten die maßgeschneiderte Malware überhaupt nicht, während andere besser abschnitten (WatchGuard 86 %, TrendMicro 64 %, McAfee und Microsoft 50 %). Die einzige Lösung, die hundertprozentige Leistung erwies, war Kaspersky Endpoint Security Cloud.

Testergebnisse

Zusammenfassend lässt sich sagen, dass Kaspersky Endpoint Security Cloud in allen Szenarios von AV-Test bessere Ergebnisse als die Produkte der Konkurrenz erzielt hat.

Nebenbei bemerkt, wurde im zweiten Szenario eine unerwartete Tatsache enthüllt: Die meisten Produkte, die nicht dazu in der Lage waren, die Dateien des Benutzers zu schützen, löschten die Dateien mit der Lösegeldforderung. Das ist keine gute Methode, denn diese Dateien enthalten manchmal technische Informationen, die von den Forschern verwendet werden können, um Daten wiederherzustellen.

Den vollständigen Bericht, mit detaillierter Beschreibung der Malware, die für die Tests angewendet wurde (sowohl bekannte Schadware und von den Forschern neu entwickelte), können Sie herunterladen, indem Sie das Formular ausfüllen.