Trend Micro descobre versão 6 do ransomware Cerber

Paulo Brito
05/05/2017

O Cerber se destacou ao tornar-se um commodity, em que hackers compram o ransomware como serviço. Versão recente inova com recursos que dificultam ainda mais sua detecção.


Há pouco mais de um ano, a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – detectou o ransomware Cerber (mapeado pela Trend Micro como família RANSOM_CERBER).


Atualmente, a família tem a reputação de ser a mais fértil de ransomware no cenário de ameaças. Desde sua primeira aparição nos mercados clandestinos da Rússia em março de 2016, o Cerber deu origem a várias versões cujas estruturas foram atualizadas frequentemente pelos seus desenvolvedores, como no caso do Cerber 4.1.5. O sucesso da família foi tanto que, segundo notícias, ofuscou até mesmo outras variações de ransomware, como o Locky (RANSOM_LOCKY).


Mina de ouro: Ransomware como Serviço

O Cerber se destacou, em relação aos outros malwares criptografados em arquivo, quando seus desenvolvedores o tornaram um commodity, adotando um modelo de negócios em que hackers parceiros podem comprar o ransomware como um serviço.


O lucro dos desenvolvedores vem das comissões que recebem – de até 40% – de cada resgate pago pelas vítimas. Após muita persistência, o Cerber se tornou uma mina de ouro do cibercrime que, segundo relatos, rendeu 200.000 dólares em comissões para seus desenvolvedores em um único mês do ano passado.


Lucrativo e customizável para os “franqueados”, não é nenhuma surpresa que o Cerber tenha ganhado várias cópias.   As amostras exclusivas do Cerber – com base no feedback da Trend Micro Smart Protection Network™ – mostra que as empresas e usuários individuais ainda estão em recuperação pelo impacto causado: entre os países mais afetados, os EUA estão no topo. O impacto do Cerber pode ser percebido também em organizações na área da educação, fábricas, setor público, tecnologia, saúde, energia e transportes.

 

 


Países mais afetados pelo Cerber:


​​

A Trend Micro também constatou que desde 2016, a evolução do Cerber demonstra como seus desenvolvedores diversificam constantemente a cadeia de ataque do ransomware, ao mesmo tempo em que ampliam suas capacidades para estar sempre à frente neste cenário.


A versão mais recente do ransomware fornece um panorama do quanto a ameaça ainda avançará: descoberta pela Trend Micro, o Cerber Versão 6 tem sido monitorado desde o começo de abril deste ano. Vetores de chegada múltiplos e rotinas reformuladas de criptografia de arquivos, foram alguns dos mecanismos detectados pela Trend Micro. Além disso, recursos de defesa que incluem técnicas anti-sandbox e anti-AV, foram também encontrados.


A evolução do Cerber em e-mails de Spam

Todas as versões do Cerber são conhecidas por usarem e-mails de spam como um de seus vetores de chegada. Na versão 6, os e-mails de spam contêm um anexo zipado com um arquivo Java (JS) malicioso e que agem com uma abordagem tripla: fazem o download direto, executam o payload e agendam uma tarefa para executar o Cerber ou ou o script PowerShell, depois de dois minutos.

 

 

 

Cadeia de infecção do Cerber Versão 6





Adicionar um período de atraso na cadeia de ataque permite que o Cerber evite as tradicionais sandboxes, particularmente aquelas com mecanismos de time-out ou que esperam pela execução final do malware.

 

Email Spam do Cerber 6



Exploit kits são também um elemento chave na distribuição do Cerber. Campanhas publicitárias maliciosas foram observadas em 2016 desviando os usuários para exploit kits como o Magnitude, Rig e Neutrino – que desde então se tornaram privados – e que atacam o sistema ou as vulnerabilidades do software. Neste ano, a Trend Micro tem observado um jogador relativamente novo, o kit de exploração Sundown, juntar-se à competição.


Diferenciais da Versão 6 do Cerber


A nova versão do Cerber 6 permite que ele seja configurado com regras de firewall do Windows a fim de bloquear o tráfego externo de todos os arquivos binários executáveis dos firewalls, antivírus e antispyware instalados no sistema. Isto possivelmente pode restringir a sua detecção e reduzir as capacidades de proteção da rede. O Cerber também é capaz de contornar e impedir a detecção estática por learning machine com base na autopercepção das ferramentas de análise e ambientes virtuais.


Outra diferença notável é a criação de uma função separada que lê e criptografa os conteúdos do arquivo. Os desenvolvedores do Cerber se destacam por implementar sua própria criptografia. A separação da função de criptografia para o Cerber 6 demonstra os esforços constantes dos autores de malware em sofisticar suas operações.


A Trend Micro inclusive observou a popularização de arquivos .HTA por uma campanha que usa o Cerber como payload. A análise inicial indica que a campanha, monitorada pela Trend Micro desde abril, aparentemente tem como alvo a Europa. Mas também foi encontrada a mesma campanha atacando dois países da América Latina. Esta campanha é notável por exibir uma mensagem de resgate do Cerber na linguagem local do sistema infectado. Ele usa um arquivo .HTA para mostrar o pedido de resgate, assim como para detectar a linguagem local a ser exibida.


Nota de Resgate do Cerber divulgada, escrita em português 




Dada a natureza comercial do ransomware, parte de seu futuro depende das demandas de seus franqueados e distribuidores, ou da necessidade dos operadores/desenvolvedores de manterem a competitividade do Cerber como um serviço.


A evolução do Cerber reflete a necessidade das organizações e usuários finais estarem cientes da constante evolução de ameaças. Os usuários finais correm o risco de perder dinheiro e importantes arquivos para o ransomware, além de ameaçar operações comerciais de organizações, reputação e resultados.

 

Boas Práticas

Para evitar ameaças deste tipo, a Trend Micro recomenda que os usuários e empresas:

·         Mantenham seus sistemas atualizados;

·          Tenham cautela com relação a e-mails suspeitos e não solicitados;

·          Façam backup regularmente de arquivos importantes;

·         Cultivem uma cultura de cibersegurança no local de trabalho.

 

Os administradores de TI/sistemas e os profissionais de segurança da informação podem ainda defender o perímetro de sua organização incorporando camadas adicionais de segurança contra arquivos, processos, aplicativos suspeitos. Os usuários e as empresas também podem se beneficiar de uma abordagem multicamadas de segurança que forneça proteção abrangente aos gateways, endpoints, redes, e servidores.


Compartilhar: