De Gilbert Sison y Janus Agcaoili
Cerber se ha ganado la reputación de ser una de las familias de ransomware que más han evolucionado hasta la fecha. Apenas en mayo pasado explicábamos cómo había pasado por seis versiones separadas con rutinas muy diferentes. Hoy observamos que solo unos meses después parece haber avanzado una vez más, ahora añadiendo a sus rutinas el robo de criptomonedas. Esto le permite a los atacantes lucrar de dos formas con una sola infección.
Aunque algunos detalles de Cerber no han cambiado: aún llega a través de correos electrónicos que vienen acompañados de un archivo adjunto:
[image url=”/wp-content/uploads/2017/08/Captura-de-pantalla-2017-08-15-a-las-4.16.41-p.m..png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”613″ height=”398″]
Figura 1. La llegada de Cerber
El archivo adjunto JavaScript es entregado como JS_NEMUCOD.SMGF2B, que lleva a la descarga de la variante de Cerber (detectada como RANSOM_HPCERBER.SMALY5A). En muchos casos, esta variante es idéntica a las versiones que se detectaron en mayo, pero con nuevos matices en su comportamiento: ahora también intenta robar billeteras de Bitcoin.
La manera en que funciona es relativamente sencilla: ataca los archivos de la billetera de tres aplicaciones de Bitcoin (Bitcoin Core, así como Electrum y Multibit). Lo hace substrayendo los siguientes archivos, los cuales están asociados con sus respectivas aplicaciones.
- wallet.dat (Bitcoin)
- *.wallet (Multibit)
- electrum.dat (Electrum)
Hay dos cosas que vale la pena destacar. El robo de estos archivos no asegura que los Bitcoins guardados puedan ser utilizados. El ladrón aún tiene que obtener la contraseña que protege la billetera en cuestión. Además, Electrum ya no utiliza el archivo electrum.dat desde finales de 2013.
Esta no es la única información que substrae la nueva variante de Cerber. También trata de robar las contraseñas guardadas en Internet Explorer, Google Chrome y Mozilla Firefox. Cabe señalar que este robo de información se realiza antes de que se haga la encripción. Tanto las contraseñas guardadas como la información que se encuentra en la billetera de Bitcoin se envían a los atacantes a través de servidores de comando y control. Asimismo, elimina los archivos de la billetera una vez que se han enviado a los servidores, lo que aumenta el daño provocado a las víctimas.
Esta nueva funcionalidad demuestra que los atacantes están probando formas novedosas de monetizar el ransomware. El robo de Bitcoins de los usuarios afectados representaría una fuente valiosa de ingresos potencial.
Soluciones y Mejores Prácticas
El vector que utiliza Cerber para entrar a los sistemas no tuvo cambios, por lo que las mejores prácticas aún siguen funcionando. Educar a los usuarios para que no abran los archivos adjuntos de correos electrónicos que provengan de fuentes externas o no verificadas reduciría los riesgos; los administradores de sistemas también deberían considerar políticas para el correo electrónico que eliminen tales archivos.
Trend Micro™ Smart Protection Suites y Worry-Free™ Business Security pueden proteger a los usuarios y empresas contra estas amenazas con la detección de archivos maliciosos y mensajes no deseados, así como bloquear todos los URLs relacionados. Trend Micro™ Deep Discovery™ tiene una capa de inspección de correo que puede proteger a las empresas cuando detecta archivos adjuntos o URLs maliciosos.
Trend Micro OfficeScan™ con la seguridad para endpoints XGen™ introduce el machine learning de alta fidelidad junto con otras tecnologías de detección e inteligencia de amenazas global para brindar protección completa contra el ransomware y el malware avanzado. Nuestras capacidades de machine learning están diseñadas para dar cuenta de los ataques que utilizan técnicas que emplean ransomware como Cerber.
Indicadores de Compromiso
Los archivos del siguiente hash SHA-256 están relacionados con este incidente:
- 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27 – detectado como RANSOM_HPCERBER.SMALY5A
Leave a Reply