نسخه‌ی جدیدی از باج‌افزار Cerber ظاهر شده است

کمیته رکن چهارم – محققان امنیتی ترندمیکرو هشدار دادند که در ماه گذشته، نسخه‌ی جدیدی از باج‌افزار Cerber ظاهر شده است که دارای بردار حمله‌ای است که در چند مرحله دریافت شده و روند رمزنگاری پرونده‌ها نیز در این بدافزار تغییر کرده است.

به گزارش کمیته رکن چهارم،این باج‌افزار که چندین سال است به‌طور مستمر به فعالیت‎های مخرب خود ادامه می‌دهد، در ۳ ماهه‌ی اول سال ۲۰۱۷ میلادی توانست قله‌‌ی باج‌افزارها و تهدیدات سایبری را فتح کرده و ۸۷ درصد از حملات را به خود اختصاص دهد. این افزایش در حملات Cerber موجب شده تا فعالیت‌های باج‌افزار Locky کم‌رنگ‌تر شود.

پویشی که باج‌افزار Cerber را توزیع می‌کند از روش‌های مختلفی مانند هرزنامه، کیت‌های بهره‌برداری و بهره‌برداری از آسیب‌پذیری‌هایی مانند آپاچی Struts ۲ استفاده می‌کند تا نرخ آلودگی را افزایش دهد. بهبودهایی در خود بدافزار نیز ایجاد شده است به‌طور مثال این باج‌افزار در حال حاضر می‌تواند روش‌های امنیتی مبتنی بر یادگیری ماشین را دور بزند.

این بدافزار در مدل کسب‌وکار باج‌افزار به‌عنوان سرویس نیز به‌ فروش رسیده و تخمین زده می‌شود سالانه میلیون‌ها دلار درآمد را عاید توسعه‌دهندگان خود کند. در نسخه‌ی جدید این باج‌افزار صرفاً روش‌های رمزنگاری تغییر نکرده بلکه قابلیت‌هایی مانند دور زدن جعبه شنی و ابزارهای ضدبدافزاری نیز به آن اضافه شده است.

نسخه‌ی جدید باج‌افزار به روش هرزنامه توزیع می‌شود که در آن یک پرونده‌ی آرشیوی zip ضمیمه شده که یک پرونده‌ی مخرب جاوا اسکریپت در داخل آن وجود دارد. محققان ترندمیکرو پس از بررسی پرونده‌های جاوا اسکریپت متوجه شدند از ۳ روش مختلف برای نصب بدافزار استفاده شده است: بارگیری و نصب مستقیم بدافزار و در ادامه اجرای آن، ایجاد یک فرآیند زمان‌بندی‌شده برای اجرای باج‌افزار پس از ۲ دقیقه و اجرای یک اسکریپت پاورشِل که در پرونده‌ی تعبیه‌شده وجود دارد.

استفاده از اجراهای تأخیری به بدافزار اجازه می‌دهد تا روش‌های قدیمی جعبه شنی را که مبتنی بر زمان خروج هستند، دور بزند. استفاده از اسکریپت‌های پاورشِل نیز برای تحویل باج‌افزار Cerber چیز عجیبی نیست چرا که محبوبیت این روش در نصب بدافزار در چند سال گذشته ثابت شده است.

در حال حاضر نسخه‌ی ۶ باج‌افزار Cerber را می‌توان طوری پیکربندی کرد که قوانینی را به دیوراه‌ی آتش و نرم‌افزارهای ضدبدافزار اضافه کرده و داده‌های خروجیِ اضافی را مسدود کند و از این طریق مانع از تشخیص و شناسایی باج‌افزار شود. باج‌افزار در حال حاضر از CryptoAPI برای رمزنگاری پرونده‌ها استفاده می‌کند.

منبع:securityweek