12 de julio de 2023 | Texto: Markus Selinger | Antivirus para Windows

Advanced Threat Protection contra técnicas actuales de ransomware y ladrones de datos

Las soluciones de seguridad para ordenadores con Windows de usuarios privados o de estaciones de trabajo en empresas requieren la mejor protección contra las técnicas de ataque más recientes. El laboratorio de AV-TEST ha examinado un total de 25 productos de seguridad con Windows 11 para comprobar si también detectan y defienden contra la nueva técnica de ataque con ladrones de datos o ransomware llamada “Inline Execute Assembly“. Los test de Advanced Threat Protection aportan información clara acerca de cuáles productos protegen bien contra las amenazas más nuevas y cuáles no.

Protección contra ladrones de datos y ransomware:

25 soluciones de seguridad en la prueba con Windows 11

No hay que ser un especialista en seguridad para saber que las ciberamenazas han incrementado en gran medida en los últimos años. Los ataques a sistemas Windows seguidos de un robo o de una encriptación de datos y el consiguiente chantaje para liberar los datos son, por desgracia, un hecho que se repite a diario. Por eso es importante que los productos de seguridad para usuarios privados o empresas estén siempre al día técnicamente y no solo detecten los ataques más pérfidos, sino que también los detengan realmente. Justamente este punto es el que aclara la prueba de Advanced Threat Protection realizada con Windows 11 a 25 productos de seguridad. El laboratorio llevó a cabo los test en marzo y abril de 2023 y acaba de publicar los extensos datos.

25 soluciones contra ladrones de datos y ransomware

Las armas de ataque más utilizadas son los ladrones de datos y el ransomware. Los primeros pasos del ataque se asemejan. En cuando se halla en el sistema, el ladrón de datos reúne información sobre archivos importantes y la transfiere al atacante. Un ransomware también busca archivos importantes, pero con el fin de encriptarlos a continuación.

En esta prueba, los examinadores se centran en una técnica de ataque especial: la “Inline Execute Assembly“. Dicho de forma muy simple, consiste en hacer un mal uso de un proceso de Windows normalmente inofensivo en un entorno de ejecución de .Net. Se escoge un proceso, se le dota de código malicioso y después se inicia. Además, mediante un bypass de AMSI, se evita la Antimalware Scan Interface (AMSI), que es la interfaz de examen de Microsoft que utilizan las soluciones antivirus. Asimismo se paraliza el seguimiento de eventos (event tracing) integrado en Windows para que no se pueda continuar con el seguimiento del proceso. Si todo esto sale bien, el malware tiene vía libre. No obstante, una buena solución de seguridad todavía puede detener el resto del proceso, es decir, la transferencia o la encriptación de datos.

Schutz gegen Ransomware und Data Stealer unter Windows

Protección contra ransomware y ladrones de datos con Windows

En la prueba en vivo ampliada, la prueba de Advanced Threat Protection, el laboratorio de AV-TEST comprueba paso a paso lo bien que los paquetes de seguridad detienen a los actuales ladrones de datos y ransomware con Windows 11

Seguridad para dispositivos finales contra ransomware y ladrones de datos

En la prueba de Advanced Threat Protection, las soluciones de seguridad demuestran lo bien que protegen los dispositivos finales con Windows 11 de las empresas frente a ladrones de datos y ransomware que utilizan la técnica de ataque “Inline Execute Assembly“

Schutz gegen Ransomware und Data Stealer unter Windows

Seguridad para dispositivos finales contra ransomware y ladrones de datos

En esta prueba, el laboratorio envió a los sistemas de prueba 5 ejemplares de ladrones de datos y 5 ejemplares de ransomware a través de un correo electrónico de spear phishing. Tras el envío, estos aterrizan en el sistema y se activan en el siguiente paso. Muchos productos detectaron ya el peligro en estos dos pasos y detuvieron el ataque. En caso de no ser así, los ladrones de datos recopilan información sobre los archivos para filtrarla después a un servidor C2. El ransomware también recopila información, pero con el fin de enviar una lista de archivos al servidor C2 mientras se inicia la encriptación de los datos. Los gráficos de los 10 escenarios muestran el transcurso de los ataques. Los casos 1 a 5 describen el ataque de los ladrones de datos y los casos 6 a 10, los ataques de ransomware.

Otro aspecto especial de esta prueba es que el laboratorio otorga puntos por la detección de determinados pasos destacados del ataque. En el caso de los ladrones de datos, pueden llegar a ser 4 puntos y en el del ransomware, 3 puntos. Por lo tanto, la máxima puntuación obtenible en esta prueba era de 35 puntos.

Encontrará una explicación más detallada de las tablas de evaluación y de los códigos cromáticos del sistema de semáforo en el artículo “Prueba y estudio: ¿Detienen las soluciones de seguridad para Windows 11 el ransomware actual?”.

Los 10 escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

Advanced Test: protección para usuarios privados

En total, 10 productos para usuarios privados se sometieron a la prueba de Advanced Threat Protection con Windows 11. Son los procedentes de AhnLab, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Microworld, Norton y PC Matic.

Salvo Microworld, todos los proveedores de productos se pueden congratular de un resultado perfecto. Los ataques de todos los escenarios fueron cortados de raíz y los sistemas nunca estuvieron en peligro. Cada producto recibió por ello 35 puntos para la puntuación en protección.

Microworld no detectó el ataque en uno de los escenarios con un ladrón de datos y con ransomware respectivamente. Ambos atacantes pudieron recopilar o bien encriptar los datos sin ser molestados. Por eso, Microworld perdió una vez 4 puntos y otra, 3 puntos. Así que se quedó con 28 puntos para la puntuación en protección.

Todo producto para usuarios privados que consigue un 75 por ciento de los 35 puntos posibles en la puntuación de protección, es decir, 26,3 puntos, recibe el certificado “Advanced Certified“. Todos los productos participantes en esta prueba consiguieron el certificado.

Advanced Test: seguridad en la empresa

Los 15 productos para dispositivos finales de empresas con Windows 11 que participaron en la prueba de Advanced Threat Protection provienen de Acronis, AhnLab, Bitdefender (con 2 versiones), Check Point, Kaspersky (con 2 versiones), Malwarebytes, Microsoft, Seqrite, Symantec, Trellix, VMware, WithSecure y Xcitium.

El grupo más grande de 12 productos superó la prueba con la máxima puntuación en protección tras recibir respectivamente 35 puntos: Acronis, AhnLab, Bitdefender Version Ultra, Check Point, Kaspersky (ambas versiones), Malwarebytes, Microsoft, Seqrite, Symantec, WithSecure y Xcitium.

Bitdefender Endpoint Security detectó a los atacantes en los 10 escenarios de prueba, pero en 2 casos con ransomware no pudo detener al atacante. Tomó algunas medidas en contra, pero al final en ambos casos se produjo una encriptación parcial de algunos archivos. Por ello se les descontaron puntos. Por consiguiente, tuvo que conformarse con 33 de los 35 puntos posibles para la puntuación en protección.

Trellix trabajó impecablemente en 9 casos, pero tuvo enormes problemas con un ladrón de datos. El producto detectó al atacante, pero no pudo hacer nada en contra. En este caso, de los 4 puntos solo le quedaron 0,5, por lo que al final de la prueba la puntuación en protección es de 31,5 puntos.

El producto que mayores problemas tuvo en los test fue VMware. No pudo detectar ni detener a uno de los ladrones de datos y el ataque siguió su curso. Esto supone una deducción de los 4 puntos y una puntuación final en protección de 31 puntos.

Todo producto para empresas que consigue un 75 por ciento de los 35 puntos posibles en la puntuación de protección, es decir, 26,3 puntos, recibe el certificado “Advanced Approved Endpoint Protection“. Todos los productos, salvo Acronis, recibieron el certificado. Si bien terminó la prueba sin fallos, los certificados solo se entregan a quienes también han sido certificados en la prueba regular mensual y cumplen los criterios.

Ningún miedo a los ladrones de datos y el ransomware

El test de Advanced Threat Protection actual va mucho más allá que la detección clásica. La actualidad de los ejemplares de ladrones de datos y ransomware y la técnica de ataque utilizada de “Inline Execute Assembly“ supuso un reto especialmente duro para muchas soluciones de seguridad. Esto hace que el resultado cause todavía mayor alegría, puesto que la mayoría de los productos examinados defendieron sin fallos los sistemas Windows: 9 de los 10 productos para el uso doméstico y 12 de las 15 soluciones para empresas.

Los demás fabricantes tienen que aprender de los fallos y mejorar aún más sus productos. Al menos solo hubo fallos y no fracasos totales.