Ransomware Cerber ganha versão distribuída via malvertising

Mais uma versão do ransomware Cerber está sendo viralizada pela rede, usando de malvertisements para atingir usuários. Apesar da campanha já ter afetado diversos países, o ataque está fortemente concentrado em Taiwan, de acordo com a empresa de segurança Trend Micro.

O Cerber se tornou uma das famílias mais notórias e populares de ransomware em 2016 e usa de ampla variedade de táticas em ataques, incluindo a potencialização de plataformas em nuvem e Windows Scripting, além de apresentar comportamento do típico desse tipo de ameaça, tal como ataques de negação de serviço distribuído.

Segundo a Trend Micro, uma razão para a popularidade dessa ameaça se deve ao fato de que o Cerber é frequentemente comprado e vendido como serviço (ransomware-as-a-service ou RaaS). Sua última versão conta com funções semelhante às variantes anteriores, como o uso de mecanismo de voz é entregue também pelos exploit kits Magnitude e Rig.

O que difere é que na versão Cerber 3.0, os usuários são redirecionados para os servidores destes exploit kits por meio de anúncios que aparecem em uma janela pop-up, depois que os alvos clicam em um vídeo para jogar.

No caso do exploit Magnitude, foi utilizado um redirecionamento simples de script. O Rig, por outro lado, abriu um site no plano de fundo que continha uma imagem de sites legítimos para compra de roupas nos EUA, fazendo com que o anúncio parecesse menos suspeito.

Cadeia de redirecionamento do kit Rig exploit
Apesar de alguns traços divergentes em relação à versão original, o Cerber continua praticamente o mesmo. O bilhete inicial de resgate usa a mesma escrita, essencialmente inalterada a partir de versões anteriores:

No entanto, a Trend Micro observou que a taxa de câmbio de bitcoins mudou em relação às outras versões. Na primeira versão, o Cerber exigia 1,24 BTC (~US$523, em 04 de março de 2016) com o prazo de sete dias para que as entidades afetadas efetuassem o pagamento. O Cerber 3.0 pede 1 BTC imediatamente, mas caso o usuário demore mais de cinco dias para pagar, o valor aumenta para 2 BTC.

Os arquivos criptografados são renomeados para uma extensão de arquivo *.cerber3. As shadow copies também são apagadas pelo ransomware, para evitar que qualquer backup com base nesse recurso possa ser restaurado. É também usada uma voz feminina para que os usuários saibam que os seus arquivos foram criptografados – tal como a versão inicial do Cerber.

Mitigação
A Trend Micro lista abaixo algumas dicas que podem ser decisivas no bloqueio contra malvertising (e exploit kits em geral):

– Com backups adequados, organizações não precisam se preocupar com qualquer perda de dados que possa ocorrer. Pratique a regra 3-2-1, em que 3 cópias são armazenadas em dois dispositivos diferentes e outra em um local seguro;

– Mantenha o software em uso atualizado com todos os reparos de segurança. Isto irá reduzir o risco de uma ampla variedade de ataques, não apenas ransomware;

– Uma solução de segurança que forneça uma defesa proativa contra ataques focando em vulnerabilidades no software do sistema também é recomendada.