Cerber ist eine Familie von Ransomware, eine Art Schadsoftware, die nach der Installation auf dem Computer eines Opfers dessen Dateien verschlüsselt und sie unzugänglich macht. Die Angreifer fordern dann ein Lösegeld als Gegenleistung für den Entschlüsselungsschlüssel.
Geschichte der Cerber Ransomware
Cerber wurde erstmals im März 2016 in freier Wildbahn als Dienst entdeckt, der in russischen Untergrundforen verkauft wurde. Es erlangte schnell Bekanntheit aufgrund seines „Ransomware as a Service“-Modells (RaaS), das es sogar technisch unerfahrenen Kriminellen ermöglicht, Ransomware-Angriffe zu starten.
Cerber-Ransomware verstehen
Cerber infiltriert ein Computersystem, normalerweise über einen bösartigen E-Mail-Anhang, einen Web-Download oder ein Exploit-Kit. Nach der Ausführung durchsucht Cerber das System nach Datendateien und beginnt mit dem Verschlüsselungsprozess unter Verwendung einer starken AES-256-Verschlüsselung. Die Dateien werden umbenannt und jeder verschlüsselten Datei wird die Erweiterung „.cerber“ oder „.cerber2“ hinzugefügt.
Sobald die Verschlüsselung abgeschlossen ist, hinterlässt die Ransomware eine Lösegeldforderung, oft mit dem Namen „# DECRYPT MY FILES #.txt“ oder „.html“, die das Opfer über die Verschlüsselung informiert und eine Lösegeldzahlung (normalerweise in Bitcoin) für den Entschlüsselungsschlüssel verlangt.
Cerber Ransomware: Ein Blick hinter die Kulissen
Cerber verwendet eine Reihe technischer Strategien, um der Entdeckung zu entgehen, die Infektion zu maximieren und Analysen zu verhindern. Dazu gehören:
-
Anti-Analyse-Techniken: Cerber verwendet verschiedene Techniken, um forensische Analysen zu verhindern, wie etwa Code-Verschleierung und -Komprimierung. Es kann erkennen, ob es in einer Sandbox oder einer virtuellen Maschine ausgeführt wird, und sich selbst beenden, um eine Erkennung zu vermeiden.
-
Persistenzmechanismen: Um sicherzustellen, dass es auf dem infizierten System verbleibt, etabliert Cerber Persistenz durch die Erstellung von Registrierungsschlüsseln, geplanten Aufgaben oder die Verwendung von Startordnern.
-
Netzwerk-Kommunikation: Nach der Infektion kommuniziert Cerber mit seinen Command-and-Control-Servern (C&C) und verwendet dabei häufig einen Domain Generation Algorithm (DGA), um neue, schwer zu blockierende Domänennamen für diese Server zu generieren.
Hauptmerkmale der Cerber Ransomware
Hier sind einige Unterscheidungsmerkmale der Cerber-Ransomware:
-
Sprachalarm: Cerber ist für seine ungewöhnliche Funktion bekannt, eine Text-to-Speech-Engine zu verwenden, um Opfer darüber zu informieren, dass ihre Dateien verschlüsselt wurden.
-
RaaS-Modell: Cerber gewann aufgrund seines RaaS-Modells an Popularität, bei dem die Malware-Entwickler die Ransomware gegen eine Gewinnbeteiligung an andere Kriminelle vermieten.
-
Widerstandsfähigkeit: Die Verwendung eines DGA für die C&C-Kommunikation und häufige Updates machen es widerstandsfähig gegen Gegenmaßnahmen.
Varianten der Cerber Ransomware
Cerber hat sich im Laufe der Zeit weiterentwickelt und es wurden mehrere Varianten identifiziert. Hier sind einige wichtige:
| Variante | Bemerkenswerte Eigenschaften |
|---|---|
| Cerber v1 | Ursprüngliche Version, Lösegeldforderung mit dem Namen „# DECRYPT MY FILES #.txt“ oder „.html“ |
| Cerber v2 | Einführung von Anti-AV-Techniken, Fehlerbehebungen |
| Cerber v3 | Kleinere Änderungen, ähnlich wie v2 |
| Cerber v4 | Zufällige 4-stellige Erweiterung für verschlüsselte Dateien eingeführt |
| Cerber v5 | Verbesserte Verschlüsselungsgeschwindigkeit, Ziel sind größere Unternehmensnetzwerke |
| Cerber v6 | Einführung einer Anti-Analyse-Technik zur Umgehung der maschinellen Lernerkennung |
Auswirkungen und Abwehr der Cerber-Ransomware
Die Auswirkungen von Cerber können schwerwiegend sein und finanzielle Verluste durch die Zahlung des Lösegelds sowie Betriebsunterbrechungen nach sich ziehen. Es ist wichtig, wichtige Dateien regelmäßig zu sichern, aktuelle Antivirensoftware zu verwenden und Mitarbeiter über die Risiken von Phishing-E-Mails und verdächtigen Downloads zu informieren.
Im Falle einer Infektion wird grundsätzlich davon abgeraten, das Lösegeld zu zahlen, da dies die Wiederherstellung der Dateien nicht garantiert und weiteren kriminellen Aktivitäten Vorschub leistet.
Vergleiche mit ähnlicher Ransomware
Hier ist ein Vergleich von Cerber mit anderer ähnlicher Ransomware:
| Ransomware | Bezahlverfahren | Verschlüsselungsalgorithmus | Bemerkenswerte Funktionen |
|---|---|---|---|
| Cerber | Bitcoin | AES-256 | RaaS, Sprachalarm |
| Locky | Bitcoin | RSA-2048 | Variabler Lösegeldbetrag |
| CryptoLocker | Bitcoin | RSA-2048 | Erste weitverbreitete Ransomware |
| Ich könnte heulen | Bitcoin | AES-256, RSA-2048 | Ausgenutzte Sicherheitslücke MS17-010 |
Die Zukunft von Ransomware
Es wird erwartet, dass Ransomware wie Cerber immer ausgefeilter wird und fortschrittliche Ausweich- und Persistenztechniken nutzt. Die Einführung von maschinellem Lernen und KI durch Cybersicherheitsverteidiger und -angreifer wird wahrscheinlich die zukünftige Landschaft prägen.
Proxy-Server und Cerber Ransomware
Proxyserver können bei Ransomware-Angriffen indirekt eine Rolle spielen. Angreifer können Proxyserver verwenden, um ihre echten IP-Adressen zu verbergen, sodass ihre Aktivitäten schwerer nachzuverfolgen sind. Proxyserver können jedoch auch Teil der Verteidigung sein. Unternehmen können Proxys verwenden, um eingehenden Datenverkehr auf Anzeichen von Ransomware zu überprüfen und bösartige Inhalte zu blockieren.
