{"id":18224,"date":"2021-10-05T13:12:31","date_gmt":"2021-10-05T16:12:31","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18224"},"modified":"2024-11-08T11:17:59","modified_gmt":"2024-11-08T14:17:59","slug":"ransomware-protection-test-2021","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-protection-test-2021\/18224\/","title":{"rendered":"As solu\u00e7\u00f5es de seguran\u00e7a contra ransomware s\u00e3o eficazes?"},"content":{"rendered":"

Quase todos os desenvolvedores de solu\u00e7\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o afirmam que seus produtos repelem ataques de ransomware<\/a>. Isso \u00e9 verdade: todos fornecem algum grau de prote\u00e7\u00e3o. Mas qu\u00e3o forte \u00e9 essa defesa? Qu\u00e3o eficazes s\u00e3o essas tecnologias?<\/p>\n

Essas n\u00e3o s\u00e3o perguntas in\u00fateis: a prote\u00e7\u00e3o parcial \u00e9 uma conquista duvidosa. Se uma solu\u00e7\u00e3o n\u00e3o pode impedir uma amea\u00e7a em seu caminho, ent\u00e3o onde est\u00e1 a garantia de que pelo menos mant\u00e9m os arquivos cr\u00edticos seguros?<\/p>\n

Com isso em mente, a empresa independente AV-Test colocou 11 produtos de prote\u00e7\u00e3o de endpoint em 113 ataques diferentes para determinar at\u00e9 que ponto eles realmente protegem os usu\u00e1rios. O AV-Test selecionou o Kaspersky Endpoint Security Cloud<\/a> para teste e nosso produto funcionou perfeitamente. Os testes usaram tr\u00eas cen\u00e1rios:<\/p>\n

Prote\u00e7\u00e3o dos arquivos do usu\u00e1rio contra ransomware predominante<\/h2>\n

O primeiro cen\u00e1rio de teste previa o ataque de ransomware mais t\u00edpico, em que a v\u00edtima executa malware em seu computador e este tenta acessar arquivos locais. Um resultado positivo significa que a amea\u00e7a foi neutralizada (ou seja, todos os arquivos de malware exclu\u00eddos, execu\u00e7\u00e3o de processos interrompida, todas as tentativas de ganhar uma posi\u00e7\u00e3o no sistema frustradas), com cada arquivo do usu\u00e1rio n\u00e3o criptografado e acess\u00edvel. O AV-Test realizou um total de 85 testes neste cen\u00e1rio com as seguintes 20 fam\u00edlias de ransomware: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (tamb\u00e9m conhecido como mailto), phobos, PYSA (tamb\u00e9m conhecido como mespinoza), Ragnar<\/a> Locker, ransomexx (tamb\u00e9m conhecido como defray777), revil<\/a> (tamb\u00e9m conhecido como Sodinokibi ou Sodin), ryuk, snatch, stop e wastedlocker<\/a>.<\/p>\n

Nesse cen\u00e1rio, quase todas as solu\u00e7\u00f5es de seguran\u00e7a fizeram um excelente trabalho, o que n\u00e3o \u00e9 surpreendente; ele usou fam\u00edlias de malware conhecidas. Os pr\u00f3ximos cen\u00e1rios foram mais dif\u00edceis.<\/p>\n

Prote\u00e7\u00e3o contra criptografia remota<\/h2>\n

No segundo cen\u00e1rio, a m\u00e1quina protegida continha arquivos que estavam acess\u00edveis na rede local e o ataque veio de outro computador na mesma rede (o outro computador n\u00e3o tinha solu\u00e7\u00e3o de seguran\u00e7a, deixando os invasores livres para executar o malware, criptografar arquivos locais e, em seguida, procurar informa\u00e7\u00f5es sobre hosts vizinhos). As fam\u00edlias de malware foram: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (tamb\u00e9m conhecido como defray777), revil (tamb\u00e9m conhecido como Sodinokibi ou Sodin) e ryuk.<\/p>\n

A solu\u00e7\u00e3o de seguran\u00e7a, vendo um processo do sistema manipulando arquivos locais, mas incapaz de ver o lan\u00e7amento do malware, n\u00e3o conseguiu verificar a reputa\u00e7\u00e3o do processo malicioso ou do arquivo que o iniciou \u2013 ou verificar o arquivo. Como se viu, dos 11 testados, apenas tr\u00eas ofereciam algum tipo de prote\u00e7\u00e3o contra esse tipo de ataque, e somente o Kaspersky Endpoint Security Cloud lidou com ele perfeitamente. Al\u00e9m disso, embora o produto da Sophos tenha sido acionado em 93% dos casos, protegeu totalmente os arquivos do usu\u00e1rio em apenas 7%.<\/p>\n

Prote\u00e7\u00e3o contra ransomware de prova de conceito<\/h2>\n

O terceiro cen\u00e1rio mostra como os produtos lidam com malware que n\u00e3o podem ter encontrado antes e que n\u00e3o poderiam, mesmo hipoteticamente, estar presentes em bancos de dados de malware. Como a seguran\u00e7a pode identificar uma amea\u00e7a ainda desconhecida apenas por meio de tecnologias proativas que reagem ao comportamento do malware, os pesquisadores criaram 14 novas amostras de ransomware que empregaram m\u00e9todos e tecnologias que os cibercriminosos raramente usam, bem como alguma criptografia original nunca vista. Como no primeiro cen\u00e1rio, definiram o sucesso como detec\u00e7\u00e3o e bloqueio de amea\u00e7as, incluindo a manuten\u00e7\u00e3o da integridade de todos os arquivos na m\u00e1quina da v\u00edtima e a remo\u00e7\u00e3o completa dos vest\u00edgios da amea\u00e7a do computador.<\/p>\n

Os resultados variaram, com alguns (ESET e Webroot) n\u00e3o detectando o malware personalizado e outros tendo melhor desempenho (WatchGuard 86%, TrendMicro 64%, McAfee e Microsoft 50%). A \u00fanica solu\u00e7\u00e3o que demonstrou desempenho de 100% foi o Kaspersky Endpoint Security Cloud.<\/p>\n

Resultado dos testes<\/h2>\n

Resumindo, o Kaspersky Endpoint Security Cloud superou seus concorrentes em todos os cen\u00e1rios do AV-Test, protegendo os usu\u00e1rios contra amea\u00e7as conhecidas e criadas recentemente.<\/p>\n

\"Resultados

Resultados agregados de todos os tr\u00eas cen\u00e1rios de teste.<\/p><\/div>\n

\u00a0<\/p>\n

A prop\u00f3sito, o segundo cen\u00e1rio revelou outro fato um tanto inesperado: a maioria dos produtos que n\u00e3o protegiam os arquivos dos usu\u00e1rios, no entanto, removeu os arquivos de notas de resgate. Mesmo deixando de lado o fracasso, isso n\u00e3o \u00e9 uma boa pr\u00e1tica; esses arquivos podem conter informa\u00e7\u00f5es t\u00e9cnicas que podem ajudar os investigadores de incidentes a recuperar dados.<\/p>\n

Para receber o relat\u00f3rio completo com os detalhe dos testes, basta preencher o formul\u00e1rio:<\/p>\n