SparkCognition DeepArmor vs. Ryuk Ransomware

Please find the english version below which was translated utilizing deepl.com.

Ryuk ist der Name einer neuen Ransomware-Kampagne, die primär große Unternehmen im Visier hat. Obwohl diese Ransomware nicht zu den technisch besten und ausgefeiltesten ihrer Art gehört, haben die Hintermänner bislang bereits Einnahmen in Höhe von ungefähr 650.000 USD in Bitcoins erzielt, und es ist anzunehmen, dass es nicht bei diesem Betrag bleiben wird und weitere Unternehmen Opfer dieser hinterhältigen Ransomware-Kampagne werden.

Wer als IT-Verantwortlicher nun glaubt, mit seiner signaturbasierten AV-Lösung vor derartigem Ungemach geschützt zu sein, irrt jedoch gewaltig: Das erste Ryuk-Sample wurde am 21.08.18 um 2333 UTC zu VirusTotal übermittelt, und etwas mehr als zwei Tage später erkennen lediglich 30 von 67 Scan Engines das Ryuk-Sample! Dieses Beispiel zeigt wieder einmal mehr, dass signaturbasierte Legacy AV-Lösungen zum einen nicht mehr zeitgemäß sind und zum anderen nach wie vor problemlos überlistet werden können.

Um die Effektivität von SparkCognition DeepArmor als leistungsfähige Next Generation AV-Lösung auf Basis von künstlicher Intelligenz (AI) und Deep Learning unter Beweis zu stellen, wurde das Originalsample mit zwei EXE-Packern (UPX und MPRESS) komprimiert, um ein mutiertes Sample zu erhalten. Die Ergebnisse sind – wie nicht anders zu erwarten – erschreckend, denn die Erkennungsrate für beide neu erzeugten Samples liegt exakt bei 0 von 67 Scan Engines!

Für DeepArmor Enterprise hingegen stellen die Mutationen kein Problem dar, denn beide mutierten Samples werden mit einer Wahrscheinlichkeit von über 99% zuverlässig von der DeepArmor AI Engine erkannt und gestoppt, die vollständig ohne Signaturen funktioniert – kann Ihre derzeitige Endpoint Protection-Lösung das auch?

Als offizieller SparkCognition DeepArmor-Partner helfen wir bei Fragen oder der Evaluierung von DeepArmor Enterprise für Unternehmen gerne weiter. Sie können uns über das Kontaktformular oder unter info AT deeparmor.de erreichen. Zögern Sie nicht, uns zu kontaktieren, denn AI ist die Zukunft.

—-

Ryuk is the name of a new ransomware campaign that primarily targets large companies. Although this ransomware is not one of the best and most sophisticated of its kind technically, the backers have already earned approximately $650,000 in Bitcoins, and it is likely that it will not stay that way and other companies will fall victim to this sneaky ransomware campaign.

But those responsible for IT who think they are protected against this kind of disaster with their signature-based AV solution are seriously mistaken: The first Ryuk sample was sent on August 21, 18 at 2333 UTC to VirusTotal, and a little more than two days later only 30 of 67 scan engines recognize the Ryuk sample! This example once again shows that signature-based legacy AV solutions are outdated and can still be easily outwitted.

To demonstrate the effectiveness of SparkCognition DeepArmor as a powerful Next Generation AV solution based on Artificial Intelligence (AI) and Deep Learning, the original sample was compressed with two EXE packers (UPX and MPRESS) to obtain a mutated sample. The results are – as expected – frightening, because the recognition rate for both newly created samples is exactly 0 of 67 scan engines!

For DeepArmor Enterprise, however, the mutations are no problem, as both mutated samples are reliably detected and stopped by the DeepArmor AI Engine with a probability of over 99%, which works completely without signatures – can your current Endpoint Protection solution also?

As an official SparkCognition DeepArmor partner, we are happy to help with questions or the evaluation of DeepArmor Enterprise for companies. You can contact us via the contact form or at info AT deeparmor.de. Do not hesitate to contact us, because AI is the future.

Translated with www.DeepL.com/Translator

SparkCognition DeepArmor vs. Vega Stealer: Schützen Sie Ihr Unternehmen vor Datenabfluss!

Proofpoint hat eine neue Malware namens Vega Stealer entdeckt, die im Rahmen einer malspam campaign an diverse Unternehmen und Organisationen ausgeliefert wurde. Vega stealer versucht sensible Daten wie gespeicherte Anmeldedaten für Websites oder Kreditkartennummern sowie sensitive Dokumente von infizierten Endgeräten zu stehlen und diese an einen Command & Control-Server zu übermitteln. Davon abgesehen, dass diese Malware in der Lage ist, sensible Daten zu stehlen, ist es (wieder einmal!) interessant zu sehen, wie die Erkennungsrate bei Virustotal aussieht – erschreckend wäre wohl das richtige Wort dafür, denn Stand 13.05.18 0132h erkennen gerade einmal 12 von 62 Engines(!) diese Malware:

SparkCognition DeepArmor als typische Next-Generation-Lösung, die vollständig auf AI (Artificial Intelligence) und machine learning basiert, erkennt diese Malware mit einer Sicherheit von 100%.

DeepArmor arbeitet vollständig ohne Signaturen und kann mit Hilfe der AI Engine auch brandneue Bedrohungen erkennen, für die herkömmliche AV-Lösungen ein Signaturen-Update benötigen. Angesichts der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ist es umso wichtiger, eine Endpoint Protection-Lösung zu verwenden, die auch unbekannte Bedrohungen zuverlässig abwehren kann. Signaturen waren gestern, AI ist heute. Bei einem data breach (Datenabfluss) muss innerhalb von 72 eine Meldung an die entsprechende Aufsichtsbehörde erfolgen, andernfalls drohen Unternehmen empfindliche Geldstrafen, die bis zu 4% des Jahresumsatzes betragen können.

Als deutscher SparkCognition-Partner beraten wir Sie gerne zum Einsatz von DeepArmor in Ihrem Unternehmen. Bei Fragen erreichen Sie uns per Mail unter info AT deeparmor.de oder über das Kontaktformular auf unserer Website. Für kleine und mittlere Unternehmen bieten wir einen Managed Service (MSITC Managed Endpoint Protection) an und unterstützen Sie beim Deployment von DeepArmor.

SparkCognition DeepArmor vs. 1000 (mutated) malware samples

Viele Hersteller von AV-Software erwecken den Eindruck, als würden ihre Lösungen sämtliche Malware erkennen und stoppen können, die auf einem Endgerät auftauchen. Ich bin geneigt, das bei Next Generation AV-Lösungen von Cylance, Endgame, Cybereason usw. auch zu glauben, weil ich aus eigener Erfahrung weiß, wie gut machine learning und AI bei der Malwareerkennung funktioniert, aber bei signaturbasierter Legacy AV-Software, die noch mit Heuristik und Behavior Analysis arbeitet, tue ich mir da ehrlich gesagt schwer. Ich möchte deshalb anhand eines Tests mit 1000 Malware-Samples die Leistungsfähigkeit von SparkCognition DeepArmor demonstrieren. Dazu gelten folgende Rahmenbedingungen:

Bei den 1000 Samples handelt es sich um .exe-Dateien und alle Arten von Malware, wie Ransomware, Cryptominer, Trojaner, Adware usw.
Im ersten Durchgang werden die Samples mit DeepArmor sowie dem Emsisoft Emergency Kit gescannt, das zwei leistungsfähige Scan Engines (Bitdefender/Emsisoft) im Bauch hat. Selbstverständlich wurden alle Signaturen vor dem Test aktualisiert.
Nach dem ersten Durchgang werden alle 1000 Samples mit mpress modifiziert, um polymorphe Samples zu simulieren
Im zweiten Durchgang werden alle nun mutierten Samples erneut mit DeepArmor und EEK gescannt. Ich möchte an dieser Stelle nicht zuviel vorweg nehmen, aber der Unterschied ist deutlich erkennbar.

Scan mit SparkCognition DeepArmor (unmodified samples)

Von 999 Samples wurden 998 erkannt, was einer detection rate von 99,89% entspricht. Die Samples wurden von der DeepArmor AI Engine erkannt, der Confidence Level lag in allen Fällen zwischen 95% und 100%.

Scan mit Emsisoft EEK (unmodified samples)

Von 999 Samples wurden 929 erkannt, was einer detection rate von 92,99% entspricht. Grundsätzlich ist das ein gutes Ergebnis für einen signaturbasierten Scanner, es bedeutet aber gleichzeitig auch, dass Malware nicht erkannt wurde und möglicherweise auch durch Verhaltensanalyse, Sandboxing oder Heuristik nicht gestoppt worden wäre.

Polymorphic/Mutated Samples

Der spannende Teil beginnt hier. Mit Hilfe des .exe-Packers mpress wurden alle Samples so modifiziert, dass die Erkennung durch signaturbasierte AV-Scanner massiv erschwert wird.

Scan mit SparkCognition DeepArmor (mutated samples)

Ob die 1007 findings nur ein Darstellungsfehler sind oder ob DeepArmor tatsächlich mutierte Samples nun mehrfach erkennt, ist momentan noch unklar. Fakt ist aber, dass es keine Einbrüche hinsichtlich der Erkennungsrate gibt und DeepArmor hier tatsächlich nur mit machine learning und künstlicher Intelligenz (AI) auch die mutierten Bedrohungen souverän erkannt und eliminiert hat.

Im Vergleich dazu nun die Scanergebnisse mit EEK:

Von 999 mutierten Samples wurden 674 erkannt, was einer detection rate von 67,47% bei einem signaturbasierten Scan entspricht.

Fazit

In diesem Test wollte ich die Unterschiede zwischen einer modernen, auf machine learning und AI basierenden Next Generation Endpoint Protection-Lösung wie SparkCognition DeepArmor und traditioneller AV-Software verdeutlichen. Auch Next Generation-Lösungen bieten keinen hundertprozentigen Schutz, sie sind aber meines Erachtens konventionellen Lösungen bereits jetzt schon deutlich überlegen, wenn es um die Erkennung von unbekannten Bedrohungen oder 0-day threats geht. Endpoint Protection ist nur ein Bestandteil des Layered Security-Konzepts, aber der wird mit SparkCognition DeepArmor definitiv sehr gut abgedeckt. Wenn Sie mehr über DeepArmor erfahren wollen: Kontaktieren Sie uns unter info AT deeparmor.de oder über das Kontaktformular. Wir sind offizieller deutscher SparkCognition-Partner und beraten Sie gerne.

Sector8

Tag Archives: artificial intelligence