Categorias

Trend Micro descobre nova versão de ransomware que é vendido como serviço

A empresa de segurança Trend Micro descobriu que o ransomware Cerber chegou em sua versão 6 e já está circulando nos subterrâneos da internet.

O Cerber se destacou, em relação aos outros malwares, quando seus desenvolvedores o tornaram um commodity, adotando um modelo de negócios em que hackers parceiros podem comprar o ransomware como um serviço.

Atualmente, a família do Cerber tem a reputação de ser a mais fértil de ransomware no cenário de ameaças. Desde sua primeira aparição nos mercados clandestinos da Rússia em março de 2016, o Cerber deu origem a várias versões cujas estruturas foram atualizadas frequentemente pelos seus desenvolvedores, como no caso do Cerber 4.1.5. O sucesso da família foi tanto que, segundo notícias, ofuscou até mesmo outras variações de ransomware, como o Locky (RANSOM_LOCKY).

A versão mais recente do ransomware fornece um panorama do quanto a ameaça ainda avançará: o Cerber 6 tem sido monitorado desde o começo de Abril deste ano. Vetores de chegada múltiplos e rotinas reformuladas de criptografia de arquivos, foram alguns dos mecanismos detectados pela Trend Micro. Além disso, recursos de defesa que incluem técnicas anti-sandbox e anti-AV, foram também encontrados.

Todas as versões do Cerber são conhecidas por usarem e-mails de spam como um de seus vetores de chegada. Na versão 6, os e-mails de spam contêm um anexo zipado com um arquivo Java (JS) malicioso e que agem com uma abordagem tripla: fazem o download direto, executam o payload e agendam uma tarefa para executar o Cerber ou ou o script PowerShell, depois de dois minutos.

A nova versão do Cerber 6 também permite que ele seja configurado com regras de firewall do Windows a fim de bloquear o tráfego externo de todos os arquivos binários executáveis dos firewalls, antivírus e antispyware instalados no sistema. Isto possivelmente pode restringir a sua detecção e reduzir as capacidades de proteção da rede. O Cerber também é capaz de contornar e impedir a detecção estática por aprendizado de máquina, com base na autopercepção das ferramentas de análise e ambientes virtuais.

Dada a natureza comercial do ransomware, parte de seu futuro depende das demandas de seus franqueados e distribuidores, ou da necessidade dos operadores/desenvolvedores de manterem a competitividade do Cerber como um serviço. “O lucro dos desenvolvedores vem das comissões que recebem – de até 40% – de cada resgate pago pelas vítimas. Após muita persistência, o Cerber se tornou uma mina de ouro do cibercrime que, segundo relatos, rendeu 200.000 dólares em comissões para seus desenvolvedores em um único mês do ano passado”, alerta a Trend Micro.

Para evitar ameaças deste tipo, a Trend Micro recomenda que os usuários e empresas:

  • Mantenham seus sistemas atualizados;
  • Tenham cautela com relação a e-mails suspeitos e não solicitados;
  • Façam backup regularmente de arquivos importantes;
  • Cultivem uma cultura de cibersegurança no local de trabalho.