Prácticamente todo desarrollador de soluciones de seguridad de la información afirma que sus productos repelen los ataques de ransomware. Y es verdad: todas proporcionan cierto grado de protección contra el ransomware. Pero ¿qué tan segura es esa protección? ¿Qué tan eficaces son estas tecnologías?
Estas no son preguntas ociosas: la protección parcial contra el ransomware es un logro cuestionable. Si una solución no puede frenar una amenaza por completo, entonces ¿dónde está la garantía de que al menos se mantengan a salvo los archivos críticos?
Dicho esto, la empresa independiente AV-Test puso a prueba 11 productos de plataformas de protección de endpoints en 113 ataques diferentes para determinar hasta qué punto protegen realmente a los usuarios. AV-Test seleccionó para la prueba a Kaspersky Endpoint Security Cloud y el resultado fue impecable. Las pruebas se desarrollaron tres escenarios:
Protección de los archivos de los usuarios contra ransomware prevalente
El primer escenario de prueba simulaba el ataque de ransomware más típico, aquel en el que la víctima ejecuta malware en su computadora y este intenta llegar a los archivos locales. Un resultado positivo supone que la amenaza ha sido neutralizada (es decir, que se eliminaron todos los archivos de malware, se detuvieron los procesos de ejecución y se frustraron los intentos por tomar el control del sistema) y todos los archivos de usuario han quedado accesibles y sin cifrar. AV-Test llevó a cabo un total de 85 pruebas en este escenario con las siguientes 20 familias de ransomware: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (también conocida como mailto), phobos, PYSA (o mespinoza), Ragnar Locker, ransomexx (o defray777), revil (o Sodinokibi y Sodin), ryuk, snatch, stop y wastedlocker.
En este escenario, casi todas las soluciones de seguridad tuvieron éxito, con era de esperarse, ya que se usaron familias de malware muy conocidas. Los escenarios que siguieron fueron más difíciles.
Protección contra el cifrado remoto
En esta segunda situación, el equipo protegido almacenaba archivos accesibles en toda la red local y el ataque venía de otra computadora conectada a esta misma red (el otro equipo no contaba con una solución de seguridad, lo que permitía a los atacantes ejecutar el malware, cifrar los archivos locales y buscar información accesible en los hosts vecinos). Las familias de malware fueron: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (también conocido como defray777), revil (también conocido como Sodinokibi o Sodin) y ryuk.
La solución de seguridad observaba un proceso del sistema manipulando archivos locales pero no podía ver la ejecución del malware, por lo que no pudo comprobar la reputación del proceso malicioso o del archivo que la había iniciado, ni siquiera pudo escanear el archivo. El resultado es que de las 11 soluciones analizadas, solo tres ofrecieron algún tipo de protección contra este tipo de ataque, y solo Kaspersky Endpoint Security Cloud manejó la situación a la perfección. Es más, si bien el producto Sophos se activó en 93 % de los casos, solo brindó protección completa a los archivos en 7 % de los casos.
Protección contra ransomware de prueba de concepto
El tercer escenario muestra cómo los productos se enfrentan a malware que no habían visto antes y que no podría, ni siquiera hipotéticamente, estar presente en las bases de datos de malware. Dado que los mecanismos de seguridad pueden identificar una amenaza aún desconocida simplemente por medio de las tecnologías proactivas que reaccionan al comportamiento del malware, los investigadores crearon 14 muestras de ransomware nuevas con métodos y tecnologías que los cibercriminales casi no usan, además de unas técnicas de cifrado nunca antes vistas. Al igual que con el primer escenario, determinaron el éxito en la prueba en función de la detección y el bloqueo, lo que incluye también mantener de la integridad de todos los archivos en el equipo de la víctima y eliminar por completo todo rastro de amenaza de la computadora.
Los resultados fueron muy dispares, con algunos (ESET y Webroot) incapaces de detectar este malware hecho a la medida y otros con mejor desempeño (WatchGuard 86 %, TrendMicro 64 %, McAfee y Microsoft 50 %). La única solución que demostró el 100 % del rendimiento fue Kaspersky Endpoint Security Cloud.
Resultados de las pruebas
Como resumen, Kaspersky Endpoint Security Cloud superó a la competencia en todos los escenarios de prueba de AV-Test, protegiendo a los usuarios contra las amenazas, tanto las conocidas y en activo como las recién creadas.
Por cierto, el segundo escenario reveló otro hecho inesperado: la mayoría de los productos que no protegieron los archivos de los usuarios sí consiguieron eliminar los archivos de las notas de rescate. Pero, incluso aunque no tuviéramos en cuenta el fallo, no sería una buena práctica, ya que estos archivos podrían contener información técnica que podría ayudar a los investigadores del incidente a recuperar los datos.
Si quieres descargar el informe completo, el cual incluye una descripción detallada del malware de prueba (tanto conocido como el creado por AV-Test), llena este formato.