Mais uma versão do ransomware Cerber está sendo viralizada pela rede, usando de malvertisements para atingir usuários. Apesar da campanha já ter afetado diversos países, o ataque está fortemente concentrado em Taiwan, de acordo com a empresa de segurança Trend Micro.
O Cerber se tornou uma das famílias mais notórias e populares de ransomware em 2016 e usa de ampla variedade de táticas em ataques, incluindo a potencialização de plataformas em nuvem e Windows Scripting, além de apresentar comportamento do típico desse tipo de ameaça, tal como ataques de negação de serviço distribuído.
Segundo a Trend Micro, uma razão para a popularidade dessa ameaça se deve ao fato de que o Cerber é frequentemente comprado e vendido como serviço (ransomware-as-a-service ou RaaS). Sua última versão conta com funções semelhante às variantes anteriores, como o uso de mecanismo de voz é entregue também pelos exploit kits Magnitude e Rig.
O que difere é que na versão Cerber 3.0, os usuários são redirecionados para os servidores destes exploit kits por meio de anúncios que aparecem em uma janela pop-up, depois que os alvos clicam em um vídeo para jogar.
No caso do exploit Magnitude, foi utilizado um redirecionamento simples de script. O Rig, por outro lado, abriu um site no plano de fundo que continha uma imagem de sites legítimos para compra de roupas nos EUA, fazendo com que o anúncio parecesse menos suspeito.
Cadeia de redirecionamento do kit Rig exploit
Apesar de alguns traços divergentes em relação à versão original, o Cerber continua praticamente o mesmo. O bilhete inicial de resgate usa a mesma escrita, essencialmente inalterada a partir de versões anteriores:
No entanto, a Trend Micro observou que a taxa de câmbio de bitcoins mudou em relação às outras versões. Na primeira versão, o Cerber exigia 1,24 BTC (~US$523, em 04 de março de 2016) com o prazo de sete dias para que as entidades afetadas efetuassem o pagamento. O Cerber 3.0 pede 1 BTC imediatamente, mas caso o usuário demore mais de cinco dias para pagar, o valor aumenta para 2 BTC.
Os arquivos criptografados são renomeados para uma extensão de arquivo *.cerber3. As shadow copies também são apagadas pelo ransomware, para evitar que qualquer backup com base nesse recurso possa ser restaurado. É também usada uma voz feminina para que os usuários saibam que os seus arquivos foram criptografados – tal como a versão inicial do Cerber.
Mitigação
A Trend Micro lista abaixo algumas dicas que podem ser decisivas no bloqueio contra malvertising (e exploit kits em geral):
– Com backups adequados, organizações não precisam se preocupar com qualquer perda de dados que possa ocorrer. Pratique a regra 3-2-1, em que 3 cópias são armazenadas em dois dispositivos diferentes e outra em um local seguro;
– Mantenha o software em uso atualizado com todos os reparos de segurança. Isto irá reduzir o risco de uma ampla variedade de ataques, não apenas ransomware;
– Uma solução de segurança que forneça uma defesa proativa contra ataques focando em vulnerabilidades no software do sistema também é recomendada.
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…
por Bruno Paiuca Dentro da jornada de digitalização dos ecossistemas de segurança, a validação e…
A Alphabet, controladora do Google, planeja levantar US$ 80 bilhões por meio da venda de…
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…