Artículo: Exploit Kits ransomware, con nueva actualización del conocido Cerber, ahora versión 4.

Pongo a disposición este artículo de Trend Micro,  para que nos demos cuenta del nivel de sofistificación y marketing que llegan estos personajes, creadores de estos archivos malignos.

La idea general que queremos hacer llegar a los usuarios, es la de estar alerta a todas estas situaciones y saber responder con celeridad.

http://blog.trendmicro.com/trendlabs-security-intelligence/several-exploit-kits-now-deliver-cerber-4-0/

Traducción Google:

Hemos rastreado tres campañas de publicidad maliciosa y una campaña de sitio comprometido usando Cerber ransomware después de la versión 4.0 (detectado como como Ransom_CERBER.DLGE) fue lanzado un mes después dela versión 3.0 . Más detalles de esta última iteración de Cerber se enumeran en un anuncio de ransomware proporcionada por el investigador de seguridad Kafeine .

Las mejoras incluyen cambiando su nota de rescate para.hta formato de HTML. Los autores ransomware también han dejado de utilizar la cadena «.cerber3» consistente como la extensión de los archivos cifrados, y se han convertido en el uso de cadena aleatoria generada para cada infección como la nueva extensión de archivo. En base a la rápida adopción de Cerber de 4.0 que se ha visto en la naturaleza desde el comienzo de octubre a las mejoras parecen haber captado la atención de los ciberdelincuentes.

El anuncio dice así:

Cerber ransomware 4.0 Cerber ransomware 4.0 (traducido)
– FUD на топовых антивирусах (скантайм / рантайм) – FUD en la parte superior del antivirus (skantaym / tiempo de ejecución)
– Обход мониторинга активности (. Массовое изменение, обход ханипотов итд) – Supervisión de la actividad de bypass (cambio de peso, sin pasar por el Pote de miel, etc.)
– Обход всех известных программ anti-ransomware – Bypass todos conocidos programas anti-ransomware
– Работает 5 крипторов 7 дней в неделю – Funciona 5 cryptors 7 días a la semana
– Морф Обновленный – Actualización de metamorfosis
– Новые инструкции на 13 языках + новый фон – Las nuevas instrucciones en 13 idiomas + nuevo fondo
– Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет) – Sincronización a través del dominio blokcheyn (ya no es importante aterrizaje de dominio prohibido o no)
– Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования – Aleatoriamente extensión para archivos cifrados, el algoritmo de cifrado actualizado
– Новые типы файлов для шифрования – Nuevos tipos de archivos para cifrar
– Закрытие запущенных процессов всех топовых баз данных – Cierre todos los procesos que se ejecutan encima de bases de datos
– Обновленный JS cargadora – Actualización del cargador JS
– Новые cebolla домены и многое другое. – Nueva dominios de cebolla y mucho más.

La rápida popularidad del Cerber 4.0  

Como hemos informado anteriormente , Cerber se ha convertido en una de las más prominentes familias ransomware de 2016. Cuenta con una amplia gama de capacidades y a menudo se compra y se vende como un servicio (-as-a-service o ransomware RAAS) -incluso las versiones anteriores eran vende como RaaS en los mercados subterráneos. La rápida liberación de cambios Cerber han convertido en una carga cada vez más popular para varios paquetes de exploits. Esto se desprende de nuestra investigación , que muestra de forma continua paquetes de exploits adoptar familias ransomware para apuntar nuevas vulnerabilidades.

Una campaña que parece favorecer la versión más reciente de Cerber es PseudoDarkleech, una campaña de cambio continuo que proporciona sobre todo ransomware través de sitios comprometidos.Anteriormente se distribuye  CrypMIC y CryptXXX , pero los investigadores de Trend Micro señaló que PseudoDarkleech cambió a 4.0 CERBER el pasado 1 de octubre.

Figura 1. Esta versión de PseudoDarkleech inyecta directamente el enlace RIG EK en el sitio comprometido

Figura 1. Esta versión de PseudoDarkleech inyecta directamente el RIG explotar enlace kit en el sitio comprometido

Figura 2. Otra variedad de PseudoDarkleech dirige a los visitantes a un servidor de redirección, lo que les dirigirá a un RIG explotar kit

Dos campañas malvertisement mayores también utilizan Cerber 4.0. Una campaña emplea la Magnitud explotar kit, que es un portador de largo plazo de Cerber .Magnitud actualizado el 3 de octubre y está presionando continuamente Cerber 4.0 en países de Asia, específicamente Taiwan, Corea, Hong Kong, Singapur y China.

La segunda campaña emplea típicamente un falso anuncio de casino con temas, y los investigadores encontraron previamente que la entrega de laAndrómeda o Betabot (detectado por Trend Micro comoNeurevt ) de software malicioso para muchos países. El 4 de octubre, investigadores de Trend Micro vieron la campaña de cambio que su carga Cerber 4.0 también.Esta fue la primera vez que detectamos que la entrega de Cerber 4.0, y se utilizó el kit de explotar RIG-otro exploit kit que tiene una historia previa con Cerber .

Figura 3. RIG explotar kit malversting ofrece nuevas ransomware Cerber

Figura 4. El casino con temas de falsa publicidad

Neutrinos explotan kit todavía viven, ahora con Cerber 4.0

Una nueva campaña malvertisement identificó por primera vez el 8 de septiembre se encontró distribuir Cerber 3.0, antes de que se actualiza a 4.0 Cerber el 3 de octubre, que se distribuyó a los EE.UU., Alemania, España, Taiwán y Corea. Curiosamente, la campaña utiliza el exploit kit de neutrinos para entregar este ransomware, a pesar de las reclamaciones por parte del equipo de neutrinos que dejaron su servicio. El investigador de seguridad Kafeine informó un mensajedesde la cuenta de Neutrinos el 9 de septiembre: «nos están cerrados, no hay nuevas rentas, no se extiende más». Aunque parece que se ha retirado de neutrinos;una especulación es que la tripulación tiene miedo de ser expuestos por las empresas de seguridad cibernética. Otra teoría es que han entrado en modo «privado», lo que significa que el exploit kit sólo está disponible para clientes VIP manejo de las operaciones más grandes.

Figura 5. Neutrinos publicidad maliciosa sirve Cerber ransomware

Soluciones y tácticas de mitigación

Ransomware es una amenaza en evolución, y la defensa más fundamental es contar con procesos de copia de seguridad adecuados en su lugar. Siga la regla 1-2-3 : 3 copias, 2 y 1, los dispositivos almacenados en un lugar seguro. La pérdida de datos es manejable, siempre y cuando se mantengan las copias de seguridad regulares.

Malvertising y explotar los kits en general están siendo desarrolladas y mejoradas constantemente por los ciberdelincuentes, software actualizado con los últimos parches de seguridad por lo que mantener es crítica para los usuarios y las empresas. Esto incluye tanto el sistema operativo y todas las aplicaciones que se utilizan. Asegúrese de que hay un sistema de seguridad en el lugar que de manera proactiva puede proporcionar una amplia defensa contra los atacantes orientada hacia las nuevas vulnerabilidades.

Trend Micro ofrece soluciones de puerta de enlace, de punto final, de la red, e incluso de servidores que protegen a las empresas y los consumidores.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.