9 listopada 2016
Szyfrujący "Cerber" zwraca łeb w stronę firmowych sieci
Właściwie trzy łby, bo w tyle udoskonaleń wyposażono nową wersję popularnego zagrożenia szyfrującego. Zdaniem firmy ANZENA specjalizującej się w rozwiązaniach do backupu alarmujący jest zwłaszcza mechanizm szyfrowania baz danych. Jego wprowadzenie to sygnał, że twórcy wirusa mają apetyt na duże sieci i jeszcze większe haracze za ich odszyfrowywanie.
"Uwaga! Co to za pies?"
Pierwsza modernizacja Cerbera zaciemnia obraz ataku. Szyfrując pliki ofiary zagrożenie zmienia ich rozszerzenia na cztery przypadkowe znaki, a nie - jak we wcześniejszych wersjach wirusa - na .cerber, .cerber2 czy .cerber3. Brak wspólnego rozszerzenia zarażonych dokumentów to dla ofiary ataku podwójny problem. Z jednej strony znacząco utrudnia rozpoznanie zagrożenia (a więc poszukiwania narzędzia deszyfrującego), z drugiej uniemożliwia oszacowanie rozmiarów infekcji skanowaniem dysku. Pozbawiona tej wiedzy i backupu swoich danych ofiara łatwiej ulegnie żądaniom okupu i na to liczą szantażyści.
" ... a gospodarz jeszcze gorszy"
Drugą modyfikacją jest nowa informacja od przestępców dla ofiary (tzw. ransom note). Dzięki wprowadzeniu pliku HTML obecnie jest wyświetlana w bardziej profesjonalny, niemal "biznesowy" sposób. Ma to zapewne uspokoić poszkodowanych, że samo zagrożenie jest dziełem profesjonalistów, a jego niestabilność (czyt. amatorskie kodowanie) nie zagrozi odciętym plikom.
- To taka karykatura b2b w relacji agresor-ofiara. Poszkodowany ma wierzyć, że jeśli zapłaci to na pewno otrzyma swój klucz deszyfrujący. Na szczęście mając kopię bezpieczeństwa danych bez trudu wyrzucimy intruza poza swoją posesję.
Krystian Smętek
inżynier systemowy rozwiązań ShadowProtect SPX
Nowoczesne systemy backupu przywracają nawet kilka TB systemu w czasie 15 minut, po których wznowimy przerwaną pracę jak gdyby przestoju w ogóle nie było. O taką ochronę powinny szczególnie zadbać firmy, w których odcięcie serwera bazodanowego oznacza straty rosnące z minuty na minutę. Zwłaszcza, że teraz to właśnie one są na celowniku cyberprzestępców.
"Szyfruję bazę w 2 sekundy, a ty?"
Nie można zaszyfrować plików będących w użyciu, prawda? Potakując trzecim łbem nowy Cerber usiłuje najpierw zatrzymywać procesy bazodanowe zarażonego systemu, a w przypadku powodzenia szyfruje pozamykane pliki, co w praktyce zamraża działanie zaatakowanej firmy. Administratorzy powinni więc zwracać szczególną uwagę na nieplanowane przestoje w pracy baz danych, bo mogą one oznaczać początek infekcji nową wersją zagrożenia. Samo szyfrowanie baz to widoczny skręt w kierunku środowisk biznesowych, na których autorzy zagrożenia spodziewają się zarobić jeszcze więcej. A już teraz zarabiają niemało - przyjmuje się, że do tej pory Cerber generował zyski rzędu 1-2,5 mln dolarów rocznie od ofiar z całego świata. Można założyć, że wkrótce te kwoty jeszcze wzrosną.
"Ostorozhno, zlaya sobaka"
Rosyjski jako język systemowy? Nie szyfrujemy! Nową wersję Cerbera napisano tak, by omijała systemy pracujące w tym właśnie języku i z tego powodu domniemywa się, że jego autorzy działają na terenie Rosji. Zagrożenie dostępne jest w sieci Darknet jako usługa szyfrująca w tzw. modelu RaaS (Ransomware-as-a-Service). Osoby chętne czerpać korzyści ze złośliwego szyfrowania cudzych danych oddają 40% udziału w zebranych haraczach autorom zagrożenia. Ma to być forma podziękowania "klientów" Cerbera za wyjątkowo przejrzystą platformę oferującą zagrożenie. Jej powstanie to kolejny znak, że okradając cudze biznesy cyberprzestępcy bardzo starają się rozwijać swój własny.
Autorem tekstu jest Piotr Surmacz
Justyna Pietruszka
marketing specialist
Masz pytania?
Skontaktuj się ze mną:
pietruszka.j@anzena.pl
32 259 10 89
Podobne wpisy: