Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Szyfrujący "Cerber" zwraca łeb w stronę firmowych sieci

Piotr Surmacz 09-11-2016, 17:15

Właściwie trzy łby, bo w tyle udoskonaleń wyposażono nową wersję popularnego zagrożenia szyfrującego. Zdaniem ekspertów firmy ANZENA alarmujący jest zwłaszcza mechanizm szyfrowania baz danych. Jego wprowadzenie to sygnał, że twórcy wirusa mają apetyt na duże sieci i jeszcze większe haracze za ich odszyfrowywanie.

"Uwaga! Co to za pies?"

Pierwsza modernizacja Cerbera zaciemnia obraz ataku. Szyfrując pliki ofiary zagrożenie zmienia ich rozszerzenia na cztery przypadkowe znaki, a nie - jak we wcześniejszych wersjach wirusa - na .cerber, .cerber2 czy .cerber3. Brak wspólnego rozszerzenia zarażonych dokumentów to dla ofiary ataku podwójny problem. Z jednej strony znacząco utrudnia rozpoznanie zagrożenia (a więc poszukiwania narzędzia deszyfrującego), z drugiej uniemożliwia oszacowanie rozmiarów infekcji skanowaniem dysku. Pozbawiona tej wiedzy i backupu swoich danych ofiara prawdopodobnie łatwiej ulegnie żądaniom okupu i na to liczą szantażyści.

 " ... a gospodarz jeszcze gorszy"

Drugą modyfikacją jest nowa informacja od przestępców dla ofiary (tzw. ransom note). Dzięki wprowadzeniu pliku HTML obecnie jest wyświetlana w bardziej profesjonalny, niemal "biznesowy" sposób. Ma to zapewne uspokoić poszkodowanych, że samo zagrożenie jest dziełem profesjonalistów, a jego niestabilność (czyt. amatorskie kodowanie) nie zagrozi odciętym plikom.

- To taka karykatura b2b w relacji agresor-ofiara - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX do backupu i szybkiego przywracania danych. - Poszkodowany ma wierzyć, że jeśli zapłaci to na pewno otrzyma swój klucz deszyfrujący. Na szczęście mając kopię bezpieczeństwa danych bez trudu wyrzucimy intruza poza swoją posesję.

Nowoczesne systemy backupu przywracają nawet kilka TB systemu w czasie 15 minut, po których wznowimy przerwaną pracę jak gdyby przestoju w ogóle nie było. O taką ochronę powinny szczególnie zadbać firmy, w których odcięcie serwera bazodanowego oznacza straty rosnące z minuty na minutę. Zwłaszcza, że teraz to właśnie one są na celowniku cyberprzestępców.

"Szyfruję bazę w 2 sekundy, a ty?"

Nie można zaszyfrować plików będących w użyciu, prawda? Potakując trzecim łbem nowy Cerber usiłuje najpierw zatrzymywać procesy bazodanowe zarażonego systemu, a w przypadku powodzenia szyfruje pozamykane pliki, co w praktyce zamraża działanie zaatakowanej firmy. Administratorzy powinni więc zwracać szczególną uwagę na nieplanowane przestoje w pracy baz danych, bo mogą one oznaczać początek infekcji nową wersją zagrożenia. Samo szyfrowanie baz to widoczny skręt w kierunku środowisk biznesowych, na których autorzy zagrożenia spodziewają się zarobić jeszcze więcej. A już teraz zarabiają niemało - przyjmuje się, że do tej pory Cerber generował zyski rzędu 1-2,5 mln dolarów rocznie od ofiar z całego świata. Można założyć, że wkrótce te kwoty jeszcze wzrosną.

"Ostorozhno, zlaya sobaka"

Rosyjski jako język systemowy? Nie szyfrujemy! Nową wersję Cerbera napisano tak, by omijała systemy pracujące w tym właśnie języku i z tego powodu domniemywa się, że jego autorzy działają na terenie Rosji. Zagrożenie dostępne jest w sieci Darknet jako usługa szyfrująca w tzw. modelu RaaS (Ransomware-as-a-Service). Osoby chętne czerpać korzyści ze złośliwego szyfrowania cudzych danych oddają 40% udziału w zebranych haraczach autorom zagrożenia. Ma to być forma podziękowania "klientów" Cerbera za wyjątkowo przejrzystą platformę oferującą zagrożenie. Jej powstanie to kolejny znak, że okradając cudze biznesy cyberprzestępcy bardzo starają się rozwijać swój własny.

Autor: Piotr Surmacz, ANZENA


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *              

Źródło: ANZENA