29 Schutzlösungen gegen Data Stealer und Ransomware unter Windows 10

Ransomware und Data Stealer

Eine Attacke mit Ransomware ist schnell erklärt: Die Angreifer versuchen in das System einzudringen, führen eine Malware aus, verschlüsseln die Daten des Systems und fordern ein Lösegeld für die Entschlüsselung. Diese Art der Attacke ist eher ein Massenangriff und wird oft per Bot-Netzwerk ausgeführt.

Die Attacke mit einem sogenannten Data Stealer ist wesentlich spezieller, denn in der Regel geht einem solchen Angriff eine Spear Phishing-Attacke voraus. Allein dieser Umstand zeigt, dass der Angriff mit einigem Aufwand geplant ist, mehr investiert wird und teilweise gezielt auf ein Opfer abgestimmt ist.

Data Stealer sind eine Art doppelte Malware. Einerseits wird eine Attacke ausgeführt, die der einer Ransomware gleicht. Allerdings: ist der Angriff erfolgreich, so wird als Täuschung bzw. Ablenkung nur eine kleine Menge an Daten verschlüsselt oder einfach nur umbenannt, um eine Verschlüsselung vorzutäuschen. Abschließend wird ein Lösegeld verlangt. Das eigentliche Ziel aber ist der Diebstahl von Daten im Hintergrund, der sonst nicht üblich ist. Die Daten landen dann entweder im Darknet oder bei einem Auftraggeber, etwa im Fall von Wirtschaftsspionage. Das Labor hat 5 dieser speziellen Attacken im Dezember durchgeführt und so die Produkte geprüft.

Obwohl sich die Angriffe mit Ransomware und Data Stealern ähneln, zeigen die Auswertungsdiagramme nach der MITRE ATT&CK-Matrix-Grafik deutlich die Unterschiede. In den Diagrammen sind die einzelnen Schritte nach MITRE technisch dokumentiert. Das heißt, ein Angriffsschritt ist in der MITRE ATT&CK-Datenbank definiert, etwa „T1059.001“ steht für „Command and Scripting Interpreter: PowerShell“. Alle Experten, die einen Angriff dokumentieren, nutzen einfach diese technischen Bezeichnungen für die Angriffsschritte. Die 10 Schaubilder zu den in den Tests verwendeten Szenarien nennen bei jedem Schritt den Ablauf und die Dokumentationsbezeichnungen.

Diese technische Dokumentation ist bei der forensischen Auswertung einer Attacke wichtig. So lässt sich zum Beispiel leichter zeigen, dass bei der Attacke in der Regel auch Daten abfließen. Wurde eine bekannte Ransomware benutzt, dann meist nicht. Wird ein Data Stealer nach MITRE ATT&CK identifiziert oder neu katalogisiert, dann schon. Das ist wichtig, etwa für die Meldung einer Attacke nach der DSGVO bzw. der GDPR.

Die Auswertungs-Matrix nach MITRE ATT&CK

Die untenstehenden Grafiken zeigen die Aktionen und Reaktionen einer jeden Schutz-Software zu jedem einzelnen Szenario. Im Prinzip sind die Grafiken sehr simpel aufgebaut: Wird bereits am Anfang eine Attacke unter einem der ersten beiden Schritte „Initial Access“ oder „Execution“ abgewehrt, so gilt damit der Angriff als erfolgreich verhindert. Dafür erhält ein Produkt dann die maximalen Punkte für den Schutz-Score. In diesem Test sind das 3 bis 5 Punkte. Der Ablauf des Angriffs wurde farbcodiert: sobald ein Angriff an einem Testpunkt abgewehrt wird, ist das Feld grün eingefärbt. Je früher also ein grünes Feld zu sehen ist, umso besser. Bleibt ein Feld orange, gilt der Punkt als nicht erkannt (no detection). Steht am Ende der Grafik ein oranges Feld, gilt die Attacke als nicht erkannt, steht dort ein gelbes Feld, gilt der Punkt nur als teilerkannt. Bei einer Ransomware bedeutet das, dass einige, aber nicht alle Dateien verschlüsselt wurden (some files encrypted). Ist das letzte Feld orange, dann wurde alles verschlüsselt (files encrypted).

Testszenarien

Alle Angriffs-Szenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1059.001“ stehen in der MITRE-Datenbank für „Technics“ unter 1059.001 „Command and Scripting Interpreter: PowerShell“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen.

Advanced Threat Protection-Tests für Privatnutzer

Im Labor stellten sich im Dezember 2021 insgesamt 15 Schutzprodukte für private Anwender unter Windows 10 den 10 Angriffsszenarien mit Ransomware und Data Stealern. Insgesamt 13 der 15 Produkte schließen den Test mit einem perfekten Ergebnis von maximal 45 Punkten ab: Acronis Cyber Protect Home, Avast Free Antivirus, AVG Internet Security, Bitdefender Internet Security, F-Secure SAFE, G Data Total Security, Malwarebytes Premium, McAfee Total Protection, Microsoft Defender, eScan Internet Security Suite, Norton 360, PC Matic und VIPRE AdvancedSecurity. Die Grafiken zeigen deutlich, dass die Angreifer gleich erkannt und abgewehrt wurden.

Lediglich die Produkte BullGuard Internet Security und Protected.net Total AV hatten jeweils bei einem Fall ein Problem mit der Erkennung des Angreifers. Der Data Stealer konnte sein destruktives Werk im Test vollenden. Für beide gab das 5 Punkte weniger im Schutz-Score und somit ein Gesamtergebnis von je 40 Punkten.

Da alle Endanwender-Produkte im Test mindestens 75 Prozent (33,75 Punkte) der maximalen 45 Punkte des Schutz-Score erreichen, erhalten sie das Zertifikat „Advanced Certified“. Nur Acronis erhält kein Zertifikat. Es schließt den Test zwar fehlerfrei ab, aber zertifiziert wird nur, wer sowohl im regulären Monatstest zertifiziert ist und hier die Kriterien erfüllt.

Advanced Threat Protection-Tests für Unternehmen

Der Dezember-Test hätte für die Unternehmensprodukte nicht besser laufen können. Alle 14 Produkte im Test schnitten in den jeweils 10 Szenarien perfekt ab und stoppten alle Attacken. Somit erhalten alle Endpoint-Produkte die maximalen 45 Punkte: Acronis Cyber Protect, Avast Business Antivirus Pro Plus, Bitdefender Endpoint Security, Bitdefender Endpoint Security (Ultra), Comodo Client Security, F-Secure Elements Endpoint Protection, G DATA Endpoint Protection Business, Malwarebytes Endpoint Protection, McAfee Endpoint Security, Microsoft Defender Antivirus, Sangfor Endpoint Secure Protect, Sophos Intercept X Advanced, Symantec Endpoint Security Complete und VMware Carbon Black Cloud.

Für die Erteilung des Zertifikats „Advanced Approved Endpoint Protection“ muss ein Produkt im Test mindestens 75 Prozent der Schutz-Score-Punkte erreichen. In diesem Test sind das mindestens 33,75 Punkte. Somit erhalten alle Testteilnehmer der Unternehmensprodukte dieses Zertifikat. Nur Acronis erhält kein Zertifikat. Es schließt den Test zwar fehlerfrei ab, aber zertifiziert wird nur, wer sowohl im regulären Monatstest zertifiziert ist und hier die Kriterien erfüllt.

Gute Abwehr von Ransomware und Data Stealern

Im besonderen Dezember-Test zeigen die meisten Schutzprogramme für private Nutzer und Unternehmen, dass sie auch in sehr realen Fällen einen guten Schutz bieten. Bei den Programmen für private Nutzer müssen sich lediglich 2 Pakete in je einem Fall geschlagen geben. Alle anderen Schutzpakete arbeiten perfekt.

In voller Perfektion zeigen sich alle Endpoint-Kandidaten für Unternehmen. Die Schutzlösungen erkennen alle Angreifer und stoppen so zuverlässig die Attacken – auch bei den gefährlichen Kandidaten aus dem Bereich Ransomware und Data Stealer.

In dieser Advanced Threat Protection-Testreihe wird AV-TEST immer sehr reale Tests mit besonderen Szenarien durchführen, die sich zum Teil auch am aktuellen Geschehen von Cyber-Attacken orientieren.  

Der aktuelle Artikel zeigt primär die Ergebnisse des Advanced Threat Protection-Test im Dezember auf. Mehr technische Hintergründe und Erklärungen liefert auch der bereits veröffentlichte Artikel APT: Strategische Angriffe erfordern strategische Tests.

Testergebnisse Privatanwender: Acronis, Avast, AVG

Testergebnisse Privatanwender: Bitdefender, BullGuard, F-Secure

Testergebnisse Privatanwender: G DATA, Malwarebytes, McAfee

Testergebnisse Privatanwender: Microsoft, Microworld, Norton

Testergebnisse Privatanwender: PC Matic, Protected.net, VIPRE Security

Testergebnisse Unternehmen: Acronis, Avast, Bitdefender

Testergebnisse Unternehmen: Bitdefender (Ultra), Comodo, F-Secure

Testergebnisse Unternehmen: G DATA, Malwarebytes, McAfee

Testergebnisse Unternehmen: Microsoft, Sangfor, Sophos

Testergebnisse Unternehmen: Symantec, VMware