Home » News » Cybersecurity » Wie gut aktuelle Schutz-Software gegen raffinierte Ransomware-Techniken schützt

Wie gut aktuelle Schutz-Software gegen raffinierte Ransomware-Techniken schützt

Das AV-TEST-Institut hat eine breite Untersuchung marktgängiger Schutzprodukte durchgeführt. Dabei mussten alle Produkte auch gegen aktuelle Ransomware-Techniken bestehen, wie Polyglot-Dateien, DLL Sideloading oder Nested Password Protected Self-Extracting Archives. Von insgesamt 25 getesteten Produkten waren viele erfolgreich, aber nicht jedes konnte alle Herausforderungen bewältigen.

1 Min. Lesezeit
Foto: ©AdobeStock/KanawatTH

Für den neuen Test prüfte AV-TEST viele Schutzprodukte für Endanwender und Unternehmen in einem Live-Test nicht nur in Form klassischer Erkennungstests, sondern auch mit Ransomware und deren besonders perfide technische Raffinessen. Dabei nutzte das Labor folgende Angriffstechniken, die zum Beispiel auch bei Emotet im Einsatz sind:

Polyglot File:

Bei dieser Technik verwendet der Angreifer besonders präparierte Dateien, die zusammenarbeiten. In diesem Test wurde eine kombinierte LNK- und ISO-Datei benutzt. Das erschwert es vielen Schutzprodukten diese Dateien zu untersuchen, zu erkennen und die Ausführung zu verhindern.

DLL Sideloading:

Hier profitieren Attacken von ganz üblichen Programmierfehlern bei Standard-Software. Eine bösartige DLL wird in das Applikations-Verzeichnis kopiert. Die Anwendung bemerkt das nicht und lädt die DLL. Der Prozess führt dann die Vorgaben der Angreifer aus. Dabei sieht er normal und harmlos aus.

Nested Password Protected Self-Extracting Archives:

Diese Technik wurde auch von Emotet benutzt, um die Erkennung durch Schutzprogramme zu verhindern.

Ein im Advanced Threat Protection-Test geprüftes Produkt erhält als Auszeichnung ein besonderes Zertifikat; aber nur, wenn im Test der Schutz-Score mindestens 75 Prozent der maximalen 30 Punkte erreicht, also 22,5 Punkte. Privatanwender-Produkte erhalten das Zertifikat „Advanced Certified“, Unternehmensprodukte das Zertifikat „Advanced Approved Endpoint Protection“.

 

Unternehmens-Produkte im Advanced Test

Beim Schutz von Unternehmen zeigten die folgenden Lösungen eine fehlerfreie Leistung und erhielten die maximalen 30 Punkte für den Schutz-Score: Avast, Bitdefender (2 Versionen), Check Point, Xcitium, Kaspersky (2 Versionen), Microsoft, WithSecure und VMware.

G DATA und Trellix erkannten zwar alle Angreifer, aber jeweils in einem Durchlauf konnten die Produkte den Aggressor nicht komplett blockieren und es kam zur Verschlüsselung einzelner Dateien. Aber es blieben je 29 Punkte für den Schutz-Score.

Die Testreihe Advanced Threat Protection ist für jedes untersuchte Produkt eine Herausforderung, da es wie im Alltag auf schwierige und dynamische Angriffs-Szenarien trifft. Auch bei diesen weiterentwickelten Testszenarien gegen raffinierte Angreifer zeigten die Unternehmensprodukte eine beachtliche Leistung: Zehn der zwölf Produkte erkannten sofort alle Angreifer und wehrten diese komplett ab: Avast, Bitdefender, Bitdefender Ultra, Check Point, Xcitium, Kaspersky Endpoint Security, Kaspersky Small Business Security, WithSecure, Microsoft und VMware. Die weiteren zwei Lösungen hatten Probleme, die zu Teilverschlüsselungen führten.

AVTest
Auch bei den weiterentwickelten Testszenarien gegen raffinierte Angreifer zeigten die Unternehmensprodukte eine beachtliche Leistung.

Andere interessante News

Industrielle und mobile Drucker: Blinde Flecken in der Sicherheit

Die Druckerflotte von Unternehmen wird immer mehr zum Sicherheitsrisiko und beeinträchtigt deren Effizienz. In den letzten zwölf Monaten hatten über 60 Prozent der Unternehmen weltweit Datenverluste aufgrund unzureichender Druckersicherheit.

Unveränderlicher Speicher schützt vor raffinierten KI-Attacken

Generative KI gibt Cyberkriminellen mehr Flexibilität, um herkömmliche Datenschutzlösungen zu umgehen und stellt eine zusätzliche Herausforderung für IT-Experten dar. Eine wirksame Antwort auf diese Bedrohungen ist eine mehrschichtige Verteidigungsstrategie, bei der unveränderlicher Speicher eine Schlüsselrolle spielt.

Neue HeadCrab-Version nimmt Redis-Server noch schärfer unter Attacke

Letztes Jahr brachte die neue Malware namens "HeadCrab" Probleme mit sich. Cyberkriminelle setzten diese fortschrittliche Malware ein, die von herkömmlichen Antivirenprogrammen nicht erkannt werden konnte, um Redis-Server zu hacken. Jetzt ist eine noch ausgefeiltere Version dieser Malware aufgetaucht.