Cerber คือกลุ่มของแรนซัมแวร์ ซึ่งเป็นซอฟต์แวร์ที่เป็นอันตรายประเภทหนึ่ง ซึ่งเมื่อติดตั้งบนคอมพิวเตอร์ของเหยื่อแล้ว จะเข้ารหัสไฟล์ของพวกเขา ทำให้ไม่สามารถเข้าถึงได้ ผู้โจมตีจะเรียกร้องค่าไถ่เพื่อแลกกับคีย์ถอดรหัส
ประวัติของ Cerber Ransomware
Cerber ถูกพบเห็นครั้งแรกในป่าในเดือนมีนาคม 2559 โดยเป็นบริการที่จำหน่ายในฟอรัมใต้ดินของรัสเซีย มันได้รับความอื้อฉาวอย่างรวดเร็วเนื่องจากโมเดล 'Ransomware as a Service' (RaaS) ซึ่งช่วยให้อาชญากรที่ไม่มีประสบการณ์ทางเทคนิคสามารถโจมตีแรนซัมแวร์ได้
ทำความเข้าใจกับ Cerber Ransomware
Cerber ทำงานโดยการแทรกซึมเข้าไปในระบบคอมพิวเตอร์ โดยทั่วไปผ่านทางไฟล์แนบอีเมลที่เป็นอันตราย การดาวน์โหลดเว็บ หรือชุดการหาประโยชน์ เมื่อดำเนินการ Cerber จะสแกนระบบเพื่อหาไฟล์ข้อมูลและเริ่มกระบวนการเข้ารหัสโดยใช้การเข้ารหัส AES-256 ที่รัดกุม ไฟล์จะถูกเปลี่ยนชื่อ และเพิ่มนามสกุล '.cerber' หรือ '.cerber2' ให้กับไฟล์ที่เข้ารหัสแต่ละไฟล์
เมื่อการเข้ารหัสเสร็จสมบูรณ์ แรนซัมแวร์จะทิ้งข้อความเรียกค่าไถ่ ซึ่งมักมีชื่อว่า '# DECRYPT MY FILES #.txt' หรือ '.html' ซึ่งจะแจ้งให้เหยื่อทราบเกี่ยวกับการเข้ารหัสและเรียกร้องค่าไถ่ ซึ่งโดยทั่วไปจะเป็น Bitcoin สำหรับการถอดรหัส สำคัญ.
Cerber Ransomware: มุมมองจากภายใน
Cerber ใช้กลยุทธ์ทางเทคนิคหลายประการเพื่อหลบเลี่ยงการตรวจจับ เพิ่มการติดเชื้อสูงสุด และขัดขวางการวิเคราะห์ ซึ่งรวมถึง:
-
เทคนิคต่อต้านการวิเคราะห์: Cerber ใช้เทคนิคหลายประการเพื่อป้องกันการวิเคราะห์ทางนิติวิทยาศาสตร์ เช่น การสร้างความสับสนและการบรรจุโค้ด สามารถตรวจจับได้ว่ากำลังทำงานอยู่ในแซนด์บ็อกซ์หรือเครื่องเสมือน และยุติตัวเองเพื่อหลีกเลี่ยงการตรวจจับ
-
กลไกการคงอยู่: เพื่อให้แน่ใจว่ามันจะยังคงอยู่ในระบบที่ติดไวรัส Cerber สร้างความคงอยู่โดยการสร้างรีจิสตรีคีย์ งานที่กำหนดเวลาไว้ หรือใช้โฟลเดอร์เริ่มต้นระบบ
-
การสื่อสารผ่านเครือข่าย: หลังการติดเชื้อ Cerber จะสื่อสารกับเซิร์ฟเวอร์ command and control (C&C) ซึ่งมักใช้ Domain Generation Algorithm (DGA) เพื่อสร้างชื่อโดเมนใหม่ที่ยากต่อการบล็อกสำหรับเซิร์ฟเวอร์เหล่านี้
คุณสมบัติหลักของ Cerber Ransomware
คุณสมบัติเด่นบางประการของ Cerber ransomware มีดังนี้:
-
การแจ้งเตือนด้วยเสียง: Cerber ขึ้นชื่อในเรื่องคุณสมบัติที่ผิดปกติของการใช้เครื่องมืออ่านออกเสียงข้อความเพื่อแจ้งให้เหยื่อทราบว่าไฟล์ของพวกเขาได้รับการเข้ารหัสแล้ว
-
โมเดล RaaS: Cerber ได้รับความนิยมเนื่องจากโมเดล RaaS ซึ่งผู้สร้างมัลแวร์ให้เช่าแรนซัมแวร์แก่อาชญากรรายอื่นเพื่อส่วนแบ่งผลกำไร
-
ความยืดหยุ่น: การใช้ DGA สำหรับการสื่อสาร C&C และการอัปเดตบ่อยครั้งทำให้มีความยืดหยุ่นต่อมาตรการรับมือ
ความหลากหลายของ Cerber Ransomware
Cerber มีการพัฒนาอยู่ตลอดเวลา โดยมีการระบุหลายสายพันธุ์ ต่อไปนี้คือสิ่งสำคัญบางประการ:
| ตัวแปร | ลักษณะเด่น |
|---|---|
| เซอร์เบอร์ v1 | เวอร์ชันเริ่มต้น บันทึกค่าไถ่ชื่อ '# DECRYPT MY FILES #.txt' หรือ '.html' |
| เซอร์เบอร์ v2 | แนะนำเทคนิคต่อต้าน AV แก้ไขข้อบกพร่อง |
| เซอร์เบอร์ v3 | การปรับเปลี่ยนเล็กน้อย คล้ายกับเวอร์ชัน 2 |
| เซอร์เบอร์ v4 | แนะนำนามสกุล 4 ตัวอักษรแบบสุ่มให้กับไฟล์ที่เข้ารหัส |
| เซอร์เบอร์ v5 | เพิ่มความเร็วของการเข้ารหัส กำหนดเป้าหมายเครือข่ายองค์กรขนาดใหญ่ |
| เซอร์เบอร์ v6 | แนะนำเทคนิคต่อต้านการวิเคราะห์เพื่อหลีกเลี่ยงการตรวจจับการเรียนรู้ของเครื่อง |
ความหมายและการบรรเทาผลกระทบของ Cerber Ransomware
ผลกระทบของ Cerber อาจรุนแรง รวมถึงความสูญเสียทางการเงินจากการจ่ายค่าไถ่และการหยุดชะงักทางธุรกิจ สิ่งสำคัญคือต้องสำรองไฟล์สำคัญเป็นประจำ ดูแลรักษาซอฟต์แวร์ป้องกันไวรัสที่อัปเดต และให้ความรู้แก่พนักงานเกี่ยวกับความเสี่ยงของอีเมลฟิชชิ่งและการดาวน์โหลดที่น่าสงสัย
ในกรณีของการติดไวรัส โดยทั่วไปแนะนำว่าอย่าจ่ายค่าไถ่เนื่องจากไม่รับประกันการกู้คืนไฟล์และกระตุ้นให้เกิดกิจกรรมทางอาญาต่อไป
การเปรียบเทียบกับ Ransomware ที่คล้ายกัน
นี่คือการเปรียบเทียบ Cerber กับแรนซัมแวร์อื่นๆ ที่คล้ายคลึงกัน:
| แรนซัมแวร์ | วิธีการชำระเงิน | อัลกอริธึมการเข้ารหัส | คุณสมบัติเด่น |
|---|---|---|---|
| เซอร์เบอร์ | บิทคอยน์ | AES-256 | RaaS การแจ้งเตือนด้วยเสียง |
| ล็อคกี้ | บิทคอยน์ | อาร์เอสเอ-2048 | จำนวนค่าไถ่แปรผัน |
| CryptoLocker | บิทคอยน์ | อาร์เอสเอ-2048 | แรนซัมแวร์ที่แพร่หลายครั้งแรก |
| อยากร้องไห้ | บิทคอยน์ | AES-256, RSA-2048 | ใช้ช่องโหว่ MS17-010 |
อนาคตของแรนซัมแวร์
แรนซัมแวร์อย่าง Cerber คาดว่าจะมีความซับซ้อนมากขึ้น โดยใช้ประโยชน์จากเทคนิคการหลบเลี่ยงขั้นสูงและการคงอยู่ การนำการเรียนรู้ของเครื่องและ AI มาใช้โดยทั้งผู้พิทักษ์และผู้โจมตีด้านความปลอดภัยทางไซเบอร์มีแนวโน้มที่จะกำหนดภูมิทัศน์ในอนาคต
พร็อกซีเซิร์ฟเวอร์และ Cerber Ransomware
พร็อกซีเซิร์ฟเวอร์สามารถมีบทบาททางอ้อมในการโจมตีแรนซัมแวร์ได้ ผู้โจมตีอาจใช้พร็อกซีเซิร์ฟเวอร์เพื่อซ่อนที่อยู่ IP จริง ทำให้ติดตามกิจกรรมได้ยากขึ้น อย่างไรก็ตาม พร็อกซีเซิร์ฟเวอร์ก็สามารถเป็นส่วนหนึ่งของการป้องกันได้เช่นกัน องค์กรต่างๆ สามารถใช้พรอกซีเพื่อตรวจสอบการรับส่งข้อมูลขาเข้าเพื่อหาสัญญาณของแรนซัมแวร์ และบล็อกเนื้อหาที่เป็นอันตราย
