Cerber è una famiglia di ransomware, un tipo di software dannoso che, una volta installato sul computer di una vittima, ne crittografa i file, rendendoli inaccessibili. Gli aggressori richiedono quindi il pagamento di un riscatto in cambio della chiave di decrittazione.
Storia del ransomware Cerber
Cerber è stato osservato per la prima volta in natura nel marzo 2016, come servizio venduto sui forum clandestini russi. Ha rapidamente guadagnato notorietà grazie al suo modello "Ransomware as a Service" (RaaS), che consente anche ai criminali tecnicamente inesperti di lanciare attacchi ransomware.
Comprendere il ransomware Cerber
Cerber funziona infiltrandosi in un sistema informatico, in genere tramite un allegato e-mail dannoso, un download Web o un kit di exploit. Dopo l'esecuzione, Cerber esegue la scansione del sistema alla ricerca di file di dati e avvia il processo di crittografia, utilizzando la potente crittografia AES-256. I file vengono rinominati e l'estensione ".cerber" o ".cerber2" viene aggiunta a ciascun file crittografato.
Una volta completata la crittografia, il ransomware rilascia una richiesta di riscatto, spesso denominata "# DECRYPT MY FILES #.txt" o ".html", che informa la vittima della crittografia e richiede il pagamento di un riscatto, solitamente in Bitcoin, per la decrittografia chiave.
Cerber Ransomware: uno sguardo dall'interno
Cerber impiega una serie di strategie tecniche per eludere il rilevamento, massimizzare l'infezione e contrastare l'analisi. Questi includono:
-
Tecniche di anti-analisi: Cerber utilizza diverse tecniche per contrastare l'analisi forense, come l'offuscamento e l'impaccamento del codice. Può rilevare se è in esecuzione in una sandbox o in una macchina virtuale e terminarsi per evitare il rilevamento.
-
Meccanismi di persistenza: Per garantire che rimanga nel sistema infetto, Cerber stabilisce la persistenza creando chiavi di registro, attività pianificate o utilizzando cartelle di avvio.
-
Comunicazione di rete: Dopo l'infezione, Cerber comunica con i suoi server di comando e controllo (C&C), spesso utilizzando un algoritmo di generazione di domini (DGA) per generare nuovi nomi di dominio difficili da bloccare per questi server.
Caratteristiche principali di Cerber Ransomware
Ecco alcune caratteristiche distintive del ransomware Cerber:
-
Avviso vocale: Cerber è noto per la sua caratteristica insolita di utilizzare un motore di sintesi vocale per informare le vittime che i loro file sono stati crittografati.
-
Modello RaaS: Cerber ha guadagnato popolarità grazie al suo modello RaaS, in cui i creatori di malware affittano il ransomware ad altri criminali per una quota dei profitti.
-
Resilienza: L’utilizzo di una DGA per le comunicazioni C&C e i frequenti aggiornamenti lo rendono resiliente alle contromisure.
Varianti di Cerber Ransomware
Cerber si è evoluto nel tempo, identificando diverse varianti. Eccone alcuni fondamentali:
| Variante | Caratteristiche notevoli |
|---|---|
| Cerber v1 | Versione iniziale, richiesta di riscatto denominata "# DECRYPT MY FILES #.txt" o ".html" |
| Cerber v2 | Introdotte tecniche anti-AV, bug corretti |
| Cerber v3 | Modifiche minori, simili alla v2 |
| Cerber v4 | Introdotta l'estensione casuale di 4 caratteri per i file crittografati |
| Cerber v5 | Maggiore velocità di crittografia, mirata a reti aziendali più grandi |
| Cerber v6 | Introdotta la tecnica anti-analisi per bypassare il rilevamento del machine learning |
Implicazioni e mitigazione del ransomware Cerber
L’impatto di Cerber può essere grave, comprese perdite finanziarie derivanti dal pagamento del riscatto e interruzioni dell’attività. È importante eseguire regolarmente il backup dei file importanti, mantenere aggiornato il software antivirus e istruire i dipendenti sui rischi delle e-mail di phishing e dei download sospetti.
In caso di infezione, in genere si consiglia di non pagare il riscatto poiché ciò non garantisce il recupero dei file e incoraggia ulteriori attività criminali.
Confronti con ransomware simili
Ecco un confronto tra Cerber e altri ransomware simili:
| Ransomware | Metodo di pagamento | Algoritmo di crittografia | Caratteristiche notevoli |
|---|---|---|---|
| Cerbero | Bitcoin | AES-256 | RaaS, avviso vocale |
| Locky | Bitcoin | RSA-2048 | Importo del riscatto variabile |
| CryptoLocker | Bitcoin | RSA-2048 | Primo ransomware diffuso |
| Voglio piangere | Bitcoin | AES-256, RSA-2048 | Vulnerabilità MS17-010 sfruttata |
Il futuro del ransomware
Si prevede che ransomware come Cerber diventeranno più sofisticati, sfruttando tecniche avanzate di evasione e persistenza. È probabile che l’adozione dell’apprendimento automatico e dell’intelligenza artificiale da parte sia dei difensori che degli aggressori della sicurezza informatica plasmerà il panorama futuro.
Server proxy e Cerber ransomware
I server proxy possono indirettamente svolgere un ruolo negli attacchi ransomware. Gli aggressori possono utilizzare server proxy per nascondere i loro reali indirizzi IP, rendendo più difficile tracciare le loro attività. Tuttavia, anche i server proxy possono far parte della difesa. Le organizzazioni possono utilizzare i proxy per ispezionare il traffico in entrata alla ricerca di segni di ransomware e bloccare contenuti dannosi.
