Cerber adalah keluarga ransomware, sejenis perangkat lunak berbahaya, yang setelah diinstal pada komputer korban, mengenkripsi file mereka, sehingga tidak dapat diakses. Para penyerang kemudian meminta pembayaran uang tebusan sebagai imbalan atas kunci dekripsi.
Sejarah Ransomware Cerber
Cerber pertama kali diamati di alam liar pada bulan Maret 2016, sebagai layanan yang dijual di forum bawah tanah Rusia. Ia dengan cepat menjadi terkenal karena model 'Ransomware as a Service' (RaaS), yang memungkinkan penjahat yang tidak berpengalaman sekalipun untuk melancarkan serangan ransomware.
Memahami Cerber Ransomware
Cerber beroperasi dengan menyusup ke sistem komputer, biasanya melalui lampiran email berbahaya, unduhan web, atau kit eksploitasi. Setelah eksekusi, Cerber memindai sistem untuk mencari file data dan memulai proses enkripsi, menggunakan enkripsi AES-256 yang kuat. File-file tersebut diganti namanya, dan ekstensi '.cerber' atau '.cerber2' ditambahkan ke setiap file terenkripsi.
Setelah enkripsi selesai, ransomware memberikan catatan tebusan, sering kali diberi nama '# DECRYPT MY FILES #.txt' atau '.html', yang memberi tahu korban tentang enkripsi dan meminta pembayaran tebusan, biasanya dalam Bitcoin, untuk dekripsi kunci.
Cerber Ransomware: Pandangan ke Dalam
Cerber menerapkan sejumlah strategi teknis untuk menghindari deteksi, memaksimalkan infeksi, dan menggagalkan analisis. Ini termasuk:
-
Teknik Anti-Analisis: Cerber menggunakan beberapa teknik untuk menggagalkan analisis forensik, seperti kebingungan kode dan pengepakan. Itu dapat mendeteksi apakah itu berjalan di kotak pasir atau mesin virtual dan berhenti sendiri untuk menghindari deteksi.
-
Mekanisme Kegigihan: Untuk memastikannya tetap berada di sistem yang terinfeksi, Cerber menetapkan persistensi dengan membuat kunci registri, tugas terjadwal, atau menggunakan folder startup.
-
Jaringan komunikasi: Pasca infeksi, Cerber berkomunikasi dengan server perintah dan kontrol (C&C), sering kali menggunakan Algoritma Pembuatan Domain (DGA) untuk menghasilkan nama domain baru yang sulit diblokir untuk server ini.
Fitur Utama Cerber Ransomware
Berikut adalah beberapa fitur yang membedakan Cerber ransomware:
-
Peringatan Suara: Cerber dikenal karena fiturnya yang tidak biasa dalam menggunakan mesin text-to-speech untuk memberi tahu korban bahwa file mereka telah dienkripsi.
-
Model RaaS: Cerber mendapatkan popularitas karena model RaaS-nya, di mana pembuat malware menyewakan ransomware kepada penjahat lain untuk mendapatkan bagian keuntungan.
-
Ketangguhan: Penggunaan DGA untuk komunikasi C&C dan pembaruan yang sering dilakukan membuatnya tahan terhadap tindakan penanggulangan.
Varian Cerber Ransomware
Cerber telah berevolusi seiring waktu, dengan beberapa varian teridentifikasi. Berikut ini beberapa hal penting:
| Varian | Karakteristik Penting |
|---|---|
| Cerber v1 | Versi awal, catatan tebusan bernama '# DECRYPT MY FILES #.txt' atau '.html' |
| Cerber v2 | Memperkenalkan teknik anti-AV, memperbaiki bug |
| Cerber v3 | Modifikasi kecil, mirip dengan v2 |
| Cerber v4 | Memperkenalkan ekstensi 4 karakter acak ke file terenkripsi |
| Cerber v5 | Peningkatan kecepatan enkripsi, menargetkan jaringan perusahaan yang lebih besar |
| Cerber v6 | Memperkenalkan teknik anti-analisis untuk melewati deteksi pembelajaran mesin |
Implikasi dan Mitigasi Cerber Ransomware
Dampak Cerber bisa sangat parah, termasuk kerugian finansial akibat pembayaran uang tebusan dan gangguan bisnis. Penting untuk mencadangkan file penting secara berkala, memperbarui perangkat lunak antivirus, dan mengedukasi karyawan tentang risiko email phishing dan unduhan mencurigakan.
Jika terjadi infeksi, umumnya disarankan untuk tidak membayar uang tebusan karena hal ini tidak menjamin pemulihan file dan mendorong aktivitas kriminal lebih lanjut.
Perbandingan dengan Ransomware Serupa
Berikut perbandingan Cerber dengan ransomware sejenis lainnya:
| perangkat lunak tebusan | Cara Pembayaran | Algoritma Enkripsi | Fitur Penting |
|---|---|---|---|
| Cerber | Bitcoin | AES-256 | RaaS, Peringatan Suara |
| terkunci | Bitcoin | RSA-2048 | Jumlah tebusan yang bervariasi |
| Pengunci Kripto | Bitcoin | RSA-2048 | Ransomware pertama yang tersebar luas |
| Ingin menangis | Bitcoin | AES-256, RSA-2048 | Kerentanan MS17-010 dieksploitasi |
Masa Depan Ransomware
Ransomware seperti Cerber diharapkan menjadi lebih canggih, memanfaatkan teknik penghindaran dan persistensi yang canggih. Penerapan pembelajaran mesin dan AI oleh pembela dan penyerang keamanan siber kemungkinan besar akan membentuk lanskap masa depan.
Server Proxy dan Cerber Ransomware
Server proxy secara tidak langsung dapat berperan dalam serangan ransomware. Penyerang mungkin menggunakan server proxy untuk menyembunyikan alamat IP asli mereka, sehingga aktivitas mereka lebih sulit dilacak. Namun, server proxy juga dapat menjadi bagian dari pertahanan. Organisasi dapat menggunakan proxy untuk memeriksa lalu lintas masuk untuk mencari tanda-tanda ransomware dan memblokir konten berbahaya.
