Cerber là một họ ransomware, một loại phần mềm độc hại, khi được cài đặt trên máy tính của nạn nhân sẽ mã hóa các tập tin của họ khiến chúng không thể truy cập được. Những kẻ tấn công sau đó yêu cầu một khoản tiền chuộc để đổi lấy khóa giải mã.
Lịch sử của phần mềm tống tiền Cerber
Cerber lần đầu tiên được quan sát thấy trong tự nhiên vào tháng 3 năm 2016, dưới dạng dịch vụ được bán trên các diễn đàn ngầm của Nga. Nó nhanh chóng nổi tiếng nhờ mô hình 'Ransomware as a Service' (RaaS), cho phép ngay cả những tên tội phạm thiếu kinh nghiệm về mặt kỹ thuật cũng có thể thực hiện các cuộc tấn công bằng ransomware.
Tìm hiểu về phần mềm tống tiền Cerber
Cerber hoạt động bằng cách xâm nhập vào hệ thống máy tính, thường thông qua tệp đính kèm email độc hại, tải xuống web hoặc bộ công cụ khai thác. Sau khi thực thi, Cerber quét hệ thống để tìm các tệp dữ liệu và bắt đầu quá trình mã hóa bằng mã hóa AES-256 mạnh. Các tệp được đổi tên và phần mở rộng '.cerber' hoặc '.cerber2' được thêm vào mỗi tệp được mã hóa.
Sau khi quá trình mã hóa hoàn tất, ransomware sẽ gửi một thông báo đòi tiền chuộc, thường có tên là '# DECRYPT MY FILES #.txt' hoặc '.html', thông báo cho nạn nhân về quá trình mã hóa và yêu cầu thanh toán tiền chuộc, thường bằng Bitcoin, cho việc giải mã. chìa khóa.
Cerber Ransomware: Cái nhìn sâu sắc
Cerber sử dụng một số chiến lược kỹ thuật để tránh bị phát hiện, tối đa hóa khả năng lây nhiễm và ngăn chặn việc phân tích. Bao gồm các:
-
Kỹ thuật chống phân tích: Cerber sử dụng một số kỹ thuật để cản trở hoạt động phân tích điều tra, chẳng hạn như làm xáo trộn mã và đóng gói. Nó có thể phát hiện xem nó đang chạy trong hộp cát hay máy ảo và tự chấm dứt để tránh bị phát hiện.
-
Cơ chế kiên trì: Để đảm bảo nó vẫn còn trên hệ thống bị nhiễm, Cerber thiết lập tính bền vững bằng cách tạo khóa đăng ký, tác vụ theo lịch trình hoặc sử dụng các thư mục khởi động.
-
Truyền thông mạng: Sau khi bị lây nhiễm, Cerber giao tiếp với các máy chủ chỉ huy và kiểm soát (C&C) của mình, thường sử dụng Thuật toán tạo miền (DGA) để tạo các tên miền mới, khó chặn cho các máy chủ này.
Các tính năng chính của phần mềm tống tiền Cerber
Dưới đây là một số đặc điểm nổi bật của phần mềm ransomware Cerber:
-
Cảnh báo bằng giọng nói: Cerber được biết đến với tính năng bất thường là sử dụng công cụ chuyển văn bản thành giọng nói để thông báo cho nạn nhân rằng các tập tin của họ đã được mã hóa.
-
Mô hình RaaS: Cerber trở nên phổ biến nhờ mô hình RaaS, trong đó những kẻ tạo ra phần mềm độc hại cho bọn tội phạm khác thuê phần mềm ransomware để chia sẻ lợi nhuận.
-
khả năng phục hồi: Việc sử dụng DGA để liên lạc C&C và cập nhật thường xuyên giúp nó có khả năng chống chịu các biện pháp đối phó.
Các biến thể của phần mềm tống tiền Cerber
Cerber đã phát triển theo thời gian, với một số biến thể được xác định. Dưới đây là một vài cái chính:
| Khác nhau | Đặc điểm nổi bật |
|---|---|
| Cerber v1 | Phiên bản đầu tiên, thông báo đòi tiền chuộc có tên “# DECRYPT MY FILES #.txt” hoặc “.html” |
| Cerber v2 | Giới thiệu kỹ thuật chống AV, sửa lỗi |
| Cerber v3 | Sửa đổi nhỏ, tương tự như v2 |
| Cerber v4 | Đã giới thiệu phần mở rộng 4 ký tự ngẫu nhiên cho các tệp được mã hóa |
| Cerber v5 | Tăng cường tốc độ mã hóa, nhắm mục tiêu vào các mạng doanh nghiệp lớn hơn |
| Cerber v6 | Giới thiệu kỹ thuật chống phân tích để vượt qua khả năng phát hiện của máy học |
Ý nghĩa và cách giảm nhẹ của phần mềm tống tiền Cerber
Tác động của Cerber có thể rất nghiêm trọng, bao gồm tổn thất tài chính do trả tiền chuộc và gián đoạn kinh doanh. Điều quan trọng là phải thường xuyên sao lưu các tệp quan trọng, duy trì phần mềm chống vi-rút cập nhật và giáo dục nhân viên về những rủi ro của email lừa đảo và các nội dung tải xuống đáng ngờ.
Trong trường hợp bị lây nhiễm, thông thường bạn không nên trả tiền chuộc vì điều này không đảm bảo việc khôi phục tệp và khuyến khích hoạt động tội phạm tiếp theo.
So sánh với Ransomware tương tự
Dưới đây là so sánh Cerber với các ransomware tương tự khác:
| Phần mềm tống tiền | Phương thức thanh toán | Thuật toán mã hóa | Tính năng nổi bật |
|---|---|---|---|
| Cerber | bitcoin | AES-256 | RaaS, Cảnh báo bằng giọng nói |
| khóa | bitcoin | RSA-2048 | Số tiền chuộc có thể thay đổi |
| CryptoLocker | bitcoin | RSA-2048 | Phần mềm tống tiền phổ biến đầu tiên |
| Muốn khóc | bitcoin | AES-256, RSA-2048 | Khai thác lỗ hổng MS17-010 |
Tương lai của phần mềm tống tiền
Ransomware như Cerber dự kiến sẽ trở nên tinh vi hơn, tận dụng các kỹ thuật lẩn tránh và tồn tại lâu dài tiên tiến. Việc áp dụng học máy và AI của cả những người bảo vệ an ninh mạng và những kẻ tấn công có thể sẽ định hình bối cảnh tương lai.
Máy chủ proxy và phần mềm tống tiền Cerber
Máy chủ proxy có thể gián tiếp đóng một vai trò trong các cuộc tấn công bằng ransomware. Những kẻ tấn công có thể sử dụng máy chủ proxy để ẩn địa chỉ IP thực của chúng, khiến hoạt động của chúng khó bị theo dõi hơn. Tuy nhiên, máy chủ proxy cũng có thể là một phần của hệ thống phòng thủ. Các tổ chức có thể sử dụng proxy để kiểm tra lưu lượng truy cập vào để tìm dấu hiệu của ransomware và chặn nội dung độc hại.
