Ransomware y ladrones de información: 17 soluciones de seguridad en el test ATP
Tras un primer ataque de phishing, los hackers y grupos APT suelen utilizar ransomware o ladrones de información para atacar los sistemas Windows. Las exhaustivas pruebas de Advanced Threat Protection (ATP) demuestran que no todo está perdido aunque en un principio no se detecte a un atacante. En estas pruebas, los expertos de AV-TEST examinan paso a paso el rendimiento de las soluciones de protección en 10 duros escenarios. En la prueba actual, los ejemplares de malware atacan mediante técnicas especiales. Se esconden en scripts y paquetes de instalación o utilizan archivos de enlace de Windows aparentemente inofensivos. La mayoría de los 17 productos de seguridad para usuarios privados y empresas examinados defienden con efectividad y éxito. Pero algún que otro producto se deja engañar en unos pocos casos.
En el pasado, los ciberdelincuentes a menudo enviaban archivos ejecutables por correo electrónico. Entretanto, hasta los profanos saben que no deben ejecutarlos sin más. Por eso, los atacantes utilizan ahora nuevas técnicas con las que camuflan hábilmente el código de ataque ocultándolo en un script u otros archivos inofensivos. Gracias a las técnicas utilizadas, los ataques están tan bien camuflados que ni los expertos los reconocen a simple vista.
En la actual prueba de Advanced Threat Protection (o prueba ATP), llevada a cabo en mayo y junio de 2024 con Windows 10, participaron los siguientes fabricantes de productos para usuarios privados: Avast, AVG, Avira, Bitdefender, McAfee, Microsoft y Surfshark.
Con soluciones para empresas estuvieron presentes: Avast, Bitdefender (con 2 versiones), Check Point, Cybereason, Microsoft, Microworld, Sophos, Trellix y WithSecure.
En la prueba con 10 escenarios de ataque reales se utilizan 5 ejemplares de ransomware y 5 ladrones de datos actuales. Cada malware utiliza una técnica de ataque distinta o incluso combina varias técnicas.
Prueba ATP con 17 productos de seguridad para Windows
Los atacantes utilizan diferentes técnicas y herramientas para evitar ser detectados por los productos de seguridad. En cada prueba ATP realizada a lo largo del año varían las técnicas de los atacantes y también los ransomware y ladrones de información utilizados. Solo dentro de una prueba, se enfrentan todos los productos a los mismos atacantes y técnicas de ataque. Aquí hay una breve descripción de las técnicas:
LuaJIT scripting interpreter: LuaJIT es un compilador “just in time” para el lenguaje de programación Lua. Los atacantes esconden código malicioso en los scripts de Lua para ejecutarlo después en el ordenador de las víctimas. El que este intérprete no esté muy extendido dificulta la detección del código malicioso. En la prueba se utiliza un archivo LuaJIT ejecutable que remite a la biblioteca y ejecuta así el código malicioso como script.
NSIS (Nullsoft Scriptable Install System): Con esta herramienta de código abierto basada en scripts se pueden crear instaladores de software para Windows. Los atacantes ocultan malware y archivos ficticios en los paquetes de instalación, que se ejecutan y después inician el ransomware o el ladrón de información.
Código escondido en un archivo LNK: En un archivo de acceso directo (.LNK) aparentemente inofensivo se esconde código malicioso que se extrae mediante la PowerShell del propio sistema Windows. Después, el código carga ransomware y ladrones de información en el sistema Windows y los ejecuta.
En la prueba ATP se registran cada uno de los pasos de la detección y la defensa en una matriz basada en el estándar MITRE ATT&CK. El ransomware se debe detectar en tres pasos fundamentales; en el caso de los ladrones de información, se dispone de cuatro acciones. El laboratorio otorga medio o un punto por cada paso o acción que se evita. Por lo tanto, un producto puede acumular cinco veces 3 puntos por cada ransomware detectado y liquidado, y cinco veces 4 puntos por cada ladrón de información. La máxima puntuación de protección obtenible es, por tanto, 35 puntos.
Los 10 escenarios de prueba
Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.
Resultados de la prueba ATP para productos para usuarios privados
Muchos productos para usuarios privados demostraron un buen rendimiento en esta prueba, pero algunos tuvieron graves problemas. Los paquetes de seguridad de Avast, AVG, McAfee, Microsoft y Surfshark superaron sin fallos los 10 escenarios con ransomware y ladrones de información. Todos ellos recibieron los 35 puntos máximos en la puntuación de protección.
Avira consiguió 34 de los 35 puntos posibles. Este paquete tuvo sus problemas con el ransomware en uno de los escenarios. Avira detectó al atacante, pero no pudo detenerlo del todo. Al final, algunos archivos fueron encriptados.
Para Bitdefender no fue su día. En primer lugar, no detectó un ladrón de información ni lo detuvo en pasos posteriores. Por lo tanto, este pudo robar datos, lo cual le costó los primeros 4 puntos. En otros dos casos, detectó el ransomware de los atacantes, pero no lo detuvo por completo. Aunque se activaron otros mecanismos de defensa, al final algunos archivos fueron encriptados en 2 de los escenarios. Esto supuso la pérdida de otros dos puntos, dejando su marcador en 29 de los 35 puntos posibles.
Todos los productos merecieron en esta prueba el certificado “Advanced Certified”, ya que obtuvieron el 75 por ciento de los 35 puntos máximos (26,5 puntos).
Resultados de la prueba ATP para las soluciones de empresa
En el caso de las soluciones para empresas, el resultado también es diverso. 7 de los 10 productos examinados en la prueba ATP trabajaron sin fallos en los 10 escenarios y recibieron la máxima puntuación en seguridad de 35 puntos respectivamente. Estos proceden de Avast, Bitdefender (versión Endpoint Security Ultra), Check Point, Microworld, Sophos, Trellix y WithSecure.
Microsoft Defender Antivirus (Enterprise) tuvo un problema al reconocer uno de los ataques de malware, pero no poderlo detener del todo. El problema concluyó con la encriptación de algunos archivos, por lo que al final recibió 34 de los 35 puntos posibles.
Mientras que la versión Bitdefender Endpoint Security “Ultra” no cometió fallos y recibió los 35 puntos, la versión Endpoint Security solo obtuvo 30,5 puntos. En la prueba, en dos ocasiones detectó a los atacantes con ransomware, pero no los pudo bloquear por completo, de modo que al final encriptaron algunos archivos. Esto le supuso la pérdida de 2 puntos. Con un ladrón de información a Bitdefender le pasó algo semejante, lo detectó, pero no pudo detenerlo en su totalidad. Esto permitió al atacante iniciar la recopilación y el robo de datos. En este caso, solo le quedaron 1,5 de los 4 puntos, por lo que perdió 2,5 puntos más.
El producto de Cybereason tuvo problemas con ladrones de información en tres ocasiones, detectando al atacante, pero no pudiendo detenerlo. Esto permitió al atacante depositar scripts y archivos ejecutables. Pero eso fue todo, después, otros mecanismos de protección pusieron fin al ataque en los tres casos. Al final, Cybereason perdió medio punto en tres ocasiones, es decir, 1,5 puntos.
Algo similar le ocurrió a Cybereason en tres casos con ransomware. Siempre detectó al atacante, pero no pudo bloquearlo por completo. En tres ocasiones, el atacante pudo introducir en el sistema en el siguiente paso su armamento en forma de scripts o archivos. A continuación, otros mecanismos de protección pusieron fin a sus acciones y detuvieron el ataque. Pero estos problemas le costaron tres veces un punto entero en la valoración. Al final de la prueba, a Cybereason le quedaron en su haber 30,5 de los 35 puntos para la puntuación en protección.
Todos los productos recibieron el certificado “Advanced Approved Endpoint Protection“ por conseguir al menos un 75 por ciento de los 35 puntos posibles en la puntuación de protección (o sea, más de 26,5 puntos).
Pérfidos atacantes contra variables profesionales de la defensa
La prueba demuestra una vez más lo dinámica que puede ser la defensa contra los atacantes. Incluso aunque un ransomware consiga acceder con éxito a partes de Windows, esto no significa que el sistema esté perdido. La prueba demuestra que los diversos mecanismos de protección pueden actuar con efectividad en pasos posteriores. En los 170 escenarios de prueba ejecutados con los 17 productos examinados solo hubo un caso en el que el atacante no fuera detectado y, por tanto, no fuera detenido. En el resto de los escenarios de prueba en los que el malware no fue detectado inicialmente, los programas de defensa pudieron proteger con éxito el sistema en pasos posteriores. No obstante, en algunos pocos casos, sí que se robaron o encriptaron algunos datos.
Los 5 productos para usuarios privados de Avast, AVG, McAfee, Microsoft y Surfshark cosecharon un éxito absoluto y los 35 puntos máximos. De las soluciones para empresas, los productos de Avast, Bitdefender (versión Endpoint Security Ultra), Check Point, Microworld, Sophos, Trellix y WithSecure superaron la prueba sin ni un solo fallo.