Cerber, il ransomware che parla alle proprie vittime

 

Proto: N030316.

Con la presente Yoroi desidera comunicarLe che negli ultimi giorni si sta sviluppando una nuova epidemia legata ad un ransomware denominato Cerber. Come diverse altre varianti di Ransomware Cerber utilizza AES per la cifratura dei file pertanto non esistono metodi conosciuti che permettano di decifrare i propri dati senza la chiave di cifratura.

Cerber viene offerto all’interno di un forum russo underground come servizio a pagamento, ricade quindi nella categoria Ransomware as a Service (RaaS) dove gli autori del malware non si occupano direttamente della distribuzione ma ricevono una percentuale sui riscatti pagati dalle vittime.

Una caratteristica interessante di questo malware è che utilizza un file di configurazione attraverso il quale l’attaccante può indicare:

  • le estensioni dei file da cifrare
  • i file e le cartelle che non si vuole cifrare (anche se appartengono alle estensioni indicate precedentemente)
  • la lista dei paesi in cui non si vuole eseguire il malware
  • una lista di file da creare

L’estrema versatilità di questo tipo di configurazioni rende Cerber uno strumento molto potente nelle mani di criminali che vogliono realizzare attacchi mirati, perché permette di studiare comportamenti personalizzati che possono rendere più difficile la sua identificazione o andare a colpire file di particolare importanza per le vittime.

Quando eseguito, Cerber configura il sistema in modo che venga lanciato all’avvio di Windows e mostra frequenti messaggi di errore fittizi per convincere l’utente ad accettare di riavviare il sistema. Al primo riavvio il sistema parte in modalità provvisoria e, dopo il login, si riavvia nuovamente in modalità normale ed inizia la cifratura dei file.
Durante il processo di cifratura  vengono creati 3 file sulla scrivania:

  • # DECRYPT MY FILES #.html
  • # DECRYPT MY FILES #.txt
  • # DECRYPT MY FILES #.vbs

I file “# DECRYPT MY FILES #.html” e “# DECRYPT MY FILES #.txt” riportano le istruzioni per richiede la chiave per decifrare i file, mentre il file “# DECRYPT MY FILES #.vbs” contiene uno script Visual Basic che utilizza il sintetizzatore di Windows per riprodurre un messaggio vocale che avverte l’utente che tutti i suoi file sono stati cifrati.
Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index