Cerber é uma família de ransomware, um tipo de software malicioso que, uma vez instalado no computador da vítima, criptografa seus arquivos, tornando-os inacessíveis. Os invasores então exigem o pagamento de um resgate em troca da chave de descriptografia.
História do Cerber Ransomware
Cerber foi observado pela primeira vez na natureza em março de 2016, como um serviço vendido em fóruns clandestinos russos. Rapidamente ganhou notoriedade devido ao seu modelo 'Ransomware as a Service' (RaaS), que permite que até criminosos tecnicamente inexperientes lancem ataques de ransomware.
Compreendendo o Cerber Ransomware
Cerber opera infiltrando-se num sistema de computador, normalmente através de um anexo de e-mail malicioso, download da web ou kit de exploração. Após a execução, o Cerber verifica o sistema em busca de arquivos de dados e inicia o processo de criptografia, usando criptografia AES-256 forte. Os ficheiros são renomeados e a extensão '.cerber' ou '.cerber2' é adicionada a cada ficheiro encriptado.
Assim que a criptografia for concluída, o ransomware lança uma nota de resgate, geralmente chamada de '# DECRYPT MY FILES #.txt' ou '.html', que informa a vítima sobre a criptografia e exige um pagamento de resgate, normalmente em Bitcoin, pela descriptografia. chave.
Cerber Ransomware: uma visão interna
Cerber emprega uma série de estratégias técnicas para evitar a detecção, maximizar a infecção e impedir a análise. Esses incluem:
-
Técnicas Anti-Análise: Cerber emprega diversas técnicas para impedir a análise forense, como ofuscação e empacotamento de código. Ele pode detectar se está sendo executado em uma sandbox ou máquina virtual e encerrar-se para evitar a detecção.
-
Mecanismos de Persistência: para garantir que permaneça no sistema infectado, o Cerber estabelece persistência criando chaves de registro, tarefas agendadas ou usando pastas de inicialização.
-
Comunicação de rede: Após a infecção, o Cerber se comunica com seus servidores de comando e controle (C&C), geralmente usando um Algoritmo de Geração de Domínio (DGA) para gerar novos nomes de domínio difíceis de bloquear para esses servidores.
Principais recursos do Cerber Ransomware
Aqui estão algumas características distintivas do ransomware Cerber:
-
Alerta de voz: Cerber é conhecido por seu recurso incomum de usar um mecanismo de conversão de texto em fala para informar às vítimas que seus arquivos foram criptografados.
-
Modelo RaaS: Cerber ganhou popularidade por causa de seu modelo RaaS, onde os criadores de malware alugam o ransomware para outros criminosos por uma parte dos lucros.
-
Resiliência: O uso de um DGA para comunicação C&C e atualizações frequentes o tornam resiliente a contramedidas.
Variantes do Cerber Ransomware
Cerber evoluiu ao longo do tempo, com diversas variantes identificadas. Aqui estão alguns dos principais:
| Variante | Características notáveis |
|---|---|
| Cerber v1 | Versão inicial, nota de resgate chamada '# DECRYPT MY FILES #.txt' ou '.html' |
| Cerber v2 | Introduziu técnicas anti-AV, corrigiu bugs |
| Cerber v3 | Pequenas modificações, semelhantes à v2 |
| Cerber v4 | Introduzida extensão aleatória de 4 caracteres para arquivos criptografados |
| Cerber v5 | Maior velocidade de criptografia, visando redes empresariais maiores |
| Cerber v6 | Introduzida técnica anti-análise para ignorar a detecção de aprendizado de máquina |
Implicação e Mitigação do Cerber Ransomware
O impacto do Cerber pode ser grave, incluindo perdas financeiras decorrentes do pagamento do resgate e interrupção dos negócios. É importante fazer backup regularmente de arquivos importantes, manter software antivírus atualizado e educar os funcionários sobre os riscos de e-mails de phishing e downloads suspeitos.
Em caso de infecção, geralmente é aconselhável não pagar o resgate, pois isso não garante a recuperação dos ficheiros e incentiva novas atividades criminosas.
Comparações com ransomware semelhante
Aqui está uma comparação do Cerber com outro ransomware semelhante:
| Ransomware | Forma de pagamento | Algoritmo de criptografia | Recursos notáveis |
|---|---|---|---|
| Cerber | Bitcoin | AES-256 | RaaS, alerta de voz |
| Locky | Bitcoin | RSA-2048 | Valor de resgate variável |
| CryptoLocker | Bitcoin | RSA-2048 | Primeiro ransomware generalizado |
| Quero chorar | Bitcoin | AES-256, RSA-2048 | Vulnerabilidade MS17-010 explorada |
O futuro do ransomware
Espera-se que ransomwares como o Cerber se tornem mais sofisticados, aproveitando técnicas avançadas de evasão e persistência. A adoção do aprendizado de máquina e da IA, tanto por defensores quanto por invasores da segurança cibernética, provavelmente moldará o cenário futuro.
Servidores proxy e Cerber Ransomware
Os servidores proxy podem desempenhar indiretamente um papel nos ataques de ransomware. Os invasores podem usar servidores proxy para ocultar seus endereços IP reais, dificultando o rastreamento de suas atividades. No entanto, os servidores proxy também podem fazer parte da defesa. As organizações podem usar proxies para inspecionar o tráfego de entrada em busca de sinais de ransomware e bloquear conteúdo malicioso.
