À quel point les solutions de sécurité sont-elles efficaces face aux ransomwares ?

11 solutions de sécurité avancée sont testées face aux dernières menaces de ransomwares.

N’importe quel développeur de solutions de sécurité des informations affirme que ses produits rejettent les attaques de ransomwares. C’est vrai : tous fournissent un certain niveau de protection contre les ransomwares. Mais quelle est la robustesse de cette protection ? Quelle est l’efficacité de ces technologies ?

Ces questions sont loin d’être futiles : une protection partielle contre les ransomwares est une réussite contestable. Si une solution ne peut pas bloquer une menace, alors qu’est-ce qui garantit à l’utilisateur que les fichiers critiques seront bien protégés ?

Dans cette optique, l’entreprise indépendante AV-Test a décidé de tester 11 produits de plateformes de protection des terminaux en lançant 113 attaques afin de déterminer à quel point les utilisateurs sont protégés. AV-Test a inclus Kaspersky Endpoint Security Cloud dans cette épreuve et notre produit a parfaitement fonctionné. Les tests reposent sur trois scénarios.

Protection des fichiers de l’utilisateur contre un ransomware connu

Le premier scénario de test envisage les attaques de ransomwares les plus courantes : lorsque la victime exécute le malware sur l’ordinateur et que celui-ci essaie d’accéder aux fichiers locaux. Un résultat positif signifie que la menace a été neutralisée (tous les fichiers du malware ont été supprimés, l’exécution des processus a été interrompue et les tentatives d’implantation dans le système ont été déjouées), qu’aucun des fichiers n’a été chiffré et qu’ils sont tous accessibles. AV-Test a réalisé 85 tests dans ce cadre et a utilisé 20 familles de ransomwares : conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (aka Sodinokibi or Sodin), ryuk, snatch, stop et wastedlocker.

Presque toutes les solutions de sécurité ont obtenu d’excellents résultats. Ce n’est pas vraiment surprenant puisque toutes ces familles de malwares sont très connues. Les situations suivantes sont plus délicates.

Protection contre le chiffrement à distance

Dans ce second scénario, le dispositif protégé contient des fichiers accessibles depuis le réseau local, et l’attaque est lancée depuis un autre ordinateur connecté au même réseau. Cet autre ordinateur n’a pas de solution de sécurité et les cybercriminels sont libres d’exécuter un malware, de chiffrer les fichiers locaux puis de chercher les informations accessibles dans les hôtes avoisinants. Les familles de malwares sont : avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (aka defray777), revil (aka Sodinokibi or Sodin) et ryuk.

La solution de sécurité, qui constate qu’un processus du système manipule les fichiers locaux mais est incapable de voir le lancement du malware, ne peut pas vérifier la réputation du processus malveillant ni du fichier à l’origine de cette action, et ne peut pas non plus analyser le fichier. Il s’avère que sur les 11 solutions, trois ont pu protéger le système contre cette attaque et Kaspersky Endpoint Security Cloud est le seul produit l’ayant gérée à la perfection, De plus, même si le produit de Sopho s’est déclenché dans 93 % des cas, il n’a entièrement protégé que 7 % des fichiers de l’utilisateur.

Protection contre les ransomwares de preuve de concept

Le troisième scénario montre comment les produits réagissent face à un malware qu’ils n’ont probablement pas rencontré par le passé et qui, en théorie, n’apparaît dans aucune base de données. Comme la sécurité ne peut identifier une menace inconnue que grâce aux technologies proactives qui réagissent au comportement du malware, les chercheurs ont créé 14 nouveaux échantillons de ransomwares avec des méthodes et des technologies rarement utilisées par les cybercriminels, ainsi que des techniques de chiffrement originales et inédites. Tout comme dans le premier scénario, les chercheurs considèrent que le résultat est concluant lorsque la menace est détectée puis bloquée, lorsque l’intégrité de tous les fichiers stockés sur l’ordinateur de la victime est maintenue et lorsque toutes les traces de la menace ont été supprimées.

Les résultats varient. Certains produits (ESET et Webroot) ne détectent pas ce malware sur mesure alors que d’autres obtiennent de meilleurs résultats (WatchGuard 86%, TrendMicro 64%, McAfee et Microsoft 50%). Kaspersky Endpoint Security Cloud est la seule solution ayant obtenu une performance de 100 %.

Résultats des tests

Pour conclure, la solution Kaspersky Endpoint Security Cloud a été plus performante que toutes ses concurrentes dans tous les scénarios créés par AV-Test et protège les utilisateurs contre les menaces connues déjà actives mais aussi contre celles récemment créées.

Résultats agrégés des trois scénarios.

Résultats agrégés des trois scénarios.

D’ailleurs, le second scenario a révélé un autre fait quelque peu inattendu : la plupart des produits qui n’ont pas réussi à protéger les fichiers de l’utilisateur ont tout de même supprimé les fichiers de la demande de rançon. Même si l’on ne tient pas compte de cet échec, cette pratique n’est pas correcte. Ces fichiers peuvent contenir des informations techniques qui pourraient permettre aux personnes qui enquêtent sur l’incident de récupérer des données.

Vous pouvez télécharger le rapport complet ainsi qu’une description détaillée des malwares (connus ou créés par les testeurs) utilisés pour les tests après avoir rempli le formulaire suivant.

Conseils