Cerber to rodzina oprogramowania ransomware, czyli rodzaju złośliwego oprogramowania, które po zainstalowaniu na komputerze ofiary szyfruje jej pliki, czyniąc je niedostępnymi. Następnie atakujący żądają zapłaty okupu w zamian za klucz deszyfrujący.
Historia oprogramowania ransomware Cerber
Cerbera po raz pierwszy zaobserwowano na wolności w marcu 2016 roku, jako usługę sprzedawaną na rosyjskich podziemnych forach. Szybko zyskał rozgłos dzięki modelowi „Ransomware as a Service” (RaaS), który umożliwia nawet niedoświadczonym technicznie przestępcom przeprowadzanie ataków ransomware.
Zrozumienie oprogramowania Cerber Ransomware
Cerber działa poprzez infiltrację systemu komputerowego, zazwyczaj poprzez złośliwy załącznik do wiadomości e-mail, pobranie z Internetu lub zestaw exploitów. Po uruchomieniu Cerber skanuje system w poszukiwaniu plików danych i rozpoczyna proces szyfrowania przy użyciu silnego szyfrowania AES-256. Nazwy plików zostaną zmienione, a do każdego zaszyfrowanego pliku dodane zostanie rozszerzenie „.cerber” lub „.cerber2”.
Po zakończeniu szyfrowania ransomware upuszcza notatkę z żądaniem okupu, często nazywaną „# DECRYPT MOJE PLIKI #.txt” lub „.html”, która informuje ofiarę o szyfrowaniu i żąda zapłaty okupu, zazwyczaj w Bitcoinach, za odszyfrowanie klucz.
Cerber Ransomware: spojrzenie od środka
Cerber wykorzystuje szereg strategii technicznych, aby uniknąć wykrycia, zmaksymalizować infekcję i udaremnić analizę. Obejmują one:
-
Techniki antyanalizy: Cerber wykorzystuje kilka technik udaremniających analizę kryminalistyczną, takich jak zaciemnianie i pakowanie kodu. Może wykryć, czy działa w piaskownicy lub na maszynie wirtualnej i zakończyć działanie, aby uniknąć wykrycia.
-
Mechanizmy trwałości: Aby mieć pewność, że pozostanie w zainfekowanym systemie, Cerber ustanawia trwałość, tworząc klucze rejestru, zaplanowane zadania lub korzystając z folderów startowych.
-
Komunikacja sieciowa: Po infekcji Cerber komunikuje się ze swoimi serwerami dowodzenia i kontroli (C&C), często korzystając z algorytmu generowania domeny (DGA) w celu generowania nowych, trudnych do zablokowania nazw domen dla tych serwerów.
Kluczowe cechy oprogramowania Cerber Ransomware
Oto kilka cech wyróżniających oprogramowanie ransomware Cerber:
-
Alarm głosowy: Cerber jest znany z niezwykłej funkcji wykorzystywania mechanizmu zamiany tekstu na mowę do informowania ofiar, że ich pliki zostały zaszyfrowane.
-
Model RaaS: Cerber zyskał popularność dzięki modelowi RaaS, w którym twórcy szkodliwego oprogramowania wypożyczają oprogramowanie ransomware innym przestępcom w zamian za część zysków.
-
Odporność: Wykorzystanie DGA do komunikacji C&C i częstych aktualizacji czyni go odpornym na środki zaradcze.
Warianty oprogramowania Cerber Ransomware
Cerber ewoluował z biegiem czasu i zidentyfikowano kilka wariantów. Oto kilka kluczowych:
| Wariant | Godne uwagi cechy |
|---|---|
| Cerber v1 | Wersja początkowa, żądanie okupu o nazwie „# DECRYPT MOJE PLIKI #.txt” lub „.html” |
| Cerbera v2 | Wprowadzono techniki anty-AV, naprawiono błędy |
| Cerbera v3 | Drobne modyfikacje, podobne do v2 |
| Cerbera v4 | Wprowadzono losowe 4-znakowe rozszerzenie do zaszyfrowanych plików |
| Cerbera v5 | Zwiększona prędkość szyfrowania, ukierunkowana na większe sieci korporacyjne |
| Cerbera v6 | Wprowadzono technikę antyanalizy w celu ominięcia wykrywania uczenia maszynowego |
Implikacje i łagodzenie skutków oprogramowania Cerber Ransomware
Skutki Cerbera mogą być poważne, obejmujące straty finansowe wynikające z zapłacenia okupu i zakłócenia w działalności. Ważne jest, aby regularnie tworzyć kopie zapasowe ważnych plików, aktualizować oprogramowanie antywirusowe i edukować pracowników na temat zagrożeń związanych z wiadomościami phishingowymi i podejrzanymi plikami do pobrania.
W przypadku infekcji ogólnie odradza się płacenie okupu, ponieważ nie gwarantuje to odzyskania plików i zachęca do dalszej działalności przestępczej.
Porównania z podobnym oprogramowaniem ransomware
Oto porównanie Cerbera z innym podobnym oprogramowaniem ransomware:
| Oprogramowanie ransomware | Metoda płatności | Algorytm szyfrowania | Godne uwagi funkcje |
|---|---|---|---|
| Cerbera | Bitcoina | AES-256 | RaaS, alert głosowy |
| Locky'ego | Bitcoina | RSA-2048 | Zmienna kwota okupu |
| KryptoLocker | Bitcoina | RSA-2048 | Pierwsze szeroko rozpowszechnione oprogramowanie ransomware |
| Chcę płakać | Bitcoina | AES-256, RSA-2048 | Wykorzystana luka MS17-010 |
Przyszłość oprogramowania ransomware
Oczekuje się, że oprogramowanie ransomware takie jak Cerber stanie się bardziej wyrafinowane, wykorzystując zaawansowane techniki unikania i utrzymywania bezpieczeństwa. Przyjęcie uczenia maszynowego i sztucznej inteligencji zarówno przez obrońców, jak i atakujących cyberbezpieczeństwa prawdopodobnie ukształtuje przyszły krajobraz.
Serwery proxy i oprogramowanie Cerber Ransomware
Serwery proxy mogą pośrednio odgrywać rolę w atakach oprogramowania ransomware. Atakujący mogą wykorzystywać serwery proxy do ukrywania swoich prawdziwych adresów IP, co utrudnia śledzenie ich działań. Jednak serwery proxy mogą również stanowić część obrony. Organizacje mogą używać serwerów proxy do sprawdzania ruchu przychodzącego pod kątem oznak oprogramowania ransomware i blokowania złośliwej zawartości.
