CERBER: Sprechende Crypto-Ransomware aus dem russischen Untergrund

Originalartikel von Rhena Inocencio, Threat Response Engineer

“Attention! Attention! Attention!”

“Your documents, photos, databases and other important files have been encrypted!”

Nach dieser Nachricht erhält der Betroffene die gesprochene Aufforderungn Lösegeld zu zahlen. RANSOM_CERBER.A ist die erste Crypto-Ransomware-Variante mit Sprachfähigkeiten.
Der Schädling zeigt Bilder an, die Anleitungen dazu enthalten, wie das Lösegeld zu zahlen ist und wie die Dateien herauszukopieren sind. Die innovative Technik erinnert an eine Variante von REVETON, auch als Polizei-Ransomware bekannt, die auch sprechen konnte, wobei die Sprache von dem Standort des Nutzers abhing.


Bild 1. Beispiel einer Lösegeldnachricht

Trend Micros Recherchen nach sprich CERBER nur Englisch, auch wenn Nutzer nach dem Anklicken des Links über den Tor-Browser die Sprache wählen können. Dennoch funktioniert nur Englisch. Die Hintermänner der sprechenden Ransomware verlangen 1,24 BTC (etwa 523 $, Stand 4. März 2016). Die Summe erhöht sich nach sieben Tagen auf 2.48 BTC (etwa 1046 $, Stand 4. März 2016).


Bild 2. Landing Page mit der Frage nach der bevorzugten Sprache

Auch bringt CERBER eine Konfigurationsdatei im .json-Format mit (dieses Format wird im Allgemeinen für die Übermittlung und Speicherung von Daten genutzt, die in Paaren von Attributwerten definiert sind). Ein näherer Blick in die Konfigurationsdatei zeigt, dass diese Ransomware relativ einfach anzupassen ist – also auch die Nachricht über das Lösegeld geändert werden kann, sowie die anvisierten Extensions wie auch die Blacklist-Länder. Das lässt darauf schließen, dass CERBER darauf zugeschnitten ist, an andere cyberkriminelle Geschäfltsleute verkauft zu werden, die die Schadsoftware an ihren Bedarf anpassen wollen.



Bild 3 und 4. CERBER-Konfigurationsdatei

Laut Daten aus dem Trend Micro Smart Protection Network verteilt das Nuclear Exploit Kit die Malware über so genannte Malvertisements. Das Nuclear Exploit Kit ist neben dem noch bekannteren Angler Exploit Kit eines der beliebtesten heute. Keiner der Server, die diese Malvertisements hosten, ist derzeit zugänglich. In einigen Berichten wird erwähnt, dass CERBER im russischen Untergrundmarkt als Ransomware-as-Service (RaaS) zu haben ist.

Ransomware bleibt eine allgegenwärtige Bedrohung durch die Kombination aus effizienten Social Engineering-Ködern und den Fähigkeiten des Schädlings. Nutzer und Unternehmen sollten deshalb ihre wichtigen Dateien regelmäßig sichern. Siehe weitere Empfehlungen gibt es unter „Ransomware: die Verteidigung beginnt hier“.

Zusätzliche Analysen von Ruby Santos und Joseph C. Chen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*