Cerber: Paradebeispiel einer Ransomware, die auf Cloud Plattformen setzt

Originalbeitrag von Trend Micro

Mit steigender Beliebtheit von Cloud-Diensten bei Endanwendern nimmt auch die Vielfalt der Missbrauchsmöglichkeiten durch Cyberkriminelle zu, die diese Services als Vektoren fürs Hosting und die Verteilung von Malware nutzen. Über diese Angriffe auf häufig eingesetzte Cloud-basierte Produktivitätsplattformen hoffen die Übeltäter Nutzer zu treffen, die auf kritische Unternehmensdaten zugreifen. Wird ihnen der Zugang verwehrt, so kann dies ernste Auswirkungen auf den Geschäftsbetrieb haben. Ein Paradebeispiel dafür ist die Cerber-Ransomware.

Mit der neuesten Variante, von Trend Micro als RANSOM_CERBER.CAD erkannt, zielten die Angreifer auf Office 365-Nutzer, sowohl private als auch geschäftliche.

Bild 1. Cerbers neueste Variante hinterlässt vier Erpressungsnachrichten: eine VBS-Datei, die als Audioversion der Nachricht dient, eine .url-Datei, die den Standard-Browser auf die Zahlungsseite öffnet und eine .html- sowie eine .txt-Datei (siehe oben).

Seit den Angriffen im März wurde die Cerber-Ransomware aktualisiert, und es kamen Fähigkeiten wie Distributed Denial-of-Service (DDoS) sowie die Nutzung eines doppelt ge-zippten Windows Script Files (WSFs) hinzu, um heuristische Analysen zu vermeiden und Spam-Filter zu umgehen. Die Ransomware sticht dadurch hervor, dass sie eine von zweien ist, die die Lösegeldforderung auch von einer computergenerierten Stimme vorlesen lässt. Der Quellcode wird sogar im russischen Untergrund als Ransomware-as-a-Service Geschäftsmodell verkauft. Die Schadsoftware wurde hauptsächlich über eine Kombination von Malvertising-Kampagnen mit Exploits durch das Nuclear Exploit Kit verbreitet.

Bild 2. Beispiel einer Spam-Mail mit verseuchtem Anhang, die vorgibt eine Rechnung zu sein

Cerber griff Office 365-Kunden über bösartige, mit Makros verseuchte Office-Dokumente als Anhang an. Microsoft hat zwar Sicherheitsmaßnahmen für Office 365- sowie Office-Anwendungen getroffen, um Makro-basierte Schadsoftware daran zu hindern, Systeme zu infizieren. Doch wie andere Erpressersoftware auch, vertraut Cerber darauf, dass Endanwender diese Sicherheitsmaßnahmen umgehen. Der Schädling nutzt Social Engineering-Tricks, um die Nutzer dazu zu bringen, Makros in den Dokumenten zu aktivieren. Dies führt im Dokument (W2KM_CERBER.CAD) dazu, dass ein VBS-codierter Trojaner-Downloader (VBS_CERBER.CAD) abgelegt wird, der dann RANSOM_CERBER.CAD von bösartigen URLs holt:

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

Diese Cerber-Variante kann 442 Dateitypen verschlüsseln und nutzt dazu eine Kombination aus AES-265 und RSA, modifiziert die Internet Explorer Zone Settings der Maschine, löscht Schattenkopien, deaktiviert Windows Startup Repair und beendet Prozesse für Outlook, The Bat!, Thunderbird und Microsoft Word. Nach der Abfrage nach dem Land des betroffenen Systems, beendet die Ransomware sich selbst, falls sie in Ländern läuft, die zur Gemeinschaft Unabhängiger Staaten (GUS) gehören.

Bild 3. Teil der Entschlüsselungsroutine des bösartigen Makros, einschließlich des Befehls, einen Trojaner-Downloader, VBS_CERBER.CAD, unter %Application Data%\{random file name}.vbs abzulegen. Der Trojaner speichert die heruntergeladenen Dateien unter dem Namen %Application Data%\{random file name}.tmp.

Trend Micro hat bereits seit Mai 2016 Cerber umfassende Mails gefunden. Im Juni gab es einen beachtlichen Anstieg, von mehr als 800 Spam-Nachrichten auf mehr als 12.000. Die höchste Spam-Aktivität wies der 22. Juni auf, als mehr als 9.000 Cerber Spam-Nachrichten gesichtet wurden. Die neue Cerber-Variante wurde auch von Rig und Magnitude Exploit Kits verteilt, die beide Zero-Day-Lücken ausnützen und auch andere Ransomware-Familien verteilen.

Autoren, wie die von Cerber, werden immer weiter neue Taktiken einsetzen, um den Streugrad ihrer Malware zu erhöhen. Dieses Mal nutzen sie Cloud-basierte Plattformen, um Anwender zu infizieren, auch wenn diese genauso sicher sind wie die Desktops. Angesichts der Social Engineering-Techniken von Cerber sind Nutzer gut beraten, die Makros in ihren Office-Programmen zu deaktivieren und Vorsicht walten zu lassen, wenn sie Mail-Anhänge öffnen, die von einem unbekannten Absender kommen. Eine solide Backup-Strategie stellt ebenfalls eine effiziente Verteidigungsstrategie dar.

Trend Micros Lösungen

Trend Micros Cloud App Security (CAS) unterstützt die Sicherheit von Office 365 Apps sowie anderer Cloud Services mithilfe modernster Sandbox Malwareanalyse für Ransomware und andere ausgefeilte Bedrohungen. CAS nutzt Exploit-Erkennung für Dokumente, um versteckte Schadsoftware in Office-Dokumenten zu finden. CAS baut auf den Sicherheitsmaßnahmen in Microsoft® Office 365™ auf. CAS scannt auch interne Mail, um bösartige Versuche, Mail als Einfallstor in Unternehmensnetzwerke zu missbrauchen, aufzudecken. Die Lösung integriert sich über APIs direkt in Cloud Services wie Office 365, sodass die Apps der Anwender und administrative Funktionen und Fähigkeiten erhalten bleiben.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Mail Gateway-Sicherheit über Hosted Email Security. Privatanwender wiederum erhalten  mit Trend Micro Security 10 einen guten Schutz vor Ransomware.

Zugehörige Hashes:

  • 55852EE512521BB189C59405435BB0808BCB26D2 – VBS_CERBER.CAD
  • 8D8E41774445096B68C702DC02E6B2F49D2D518D – W2KM_CERBER.CAD
  • C8F3F0A33EFE38E9296EF79552C4CADF6CF0BDE6 – Ransom_CERBER.CAD

Analysen von Joseph C. Chen, Yi Zhou, Isabel Segismundo, Franklynn Uy und Francis Antazo.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*