Mehrere Exploit Kits liefern nun Cerber 4.0 aus

Originalbeitrag von Joseph C Chen, Fraud Researcher

Die Sicherheitsforscher von Trend Micro konnten drei Malvertising-Kampagnen und eine über eine infizierte Site beobachten, die alle Cerber-Ransomware Version 4.0 einsetzten (Ransom_CERBER.DLGE). Diese neue Version liefert die Lösegeldforderung in .hta-Format statt wie bislang in html aus. Weitere Details im Originalbeitrag. Die Beliebtheit von Cerber 4.0 scheint seit Anfang Oktober stark gestiegen zu sein.
In einer Werbung dafür werden die Vorteile aufgezählt: Umgehen von Aktivitäts-Monitoring und allen bekannten Anti-Ransomware-Programmen, arbeitet sieben Tage die Woche mit fünf Kryptoren, aktualisierter Morph, neue Anleitungen in 13 Sprachen, Synchronisierung über die Domäne blokcheyn, beliebige Extensions für verschlüsselte Dateien, erneuerter Verschlüsselungsalgorithmus, Verschlüsselung weiterer Dateitypen, Beenden aller laufenden Datenbankprozesse, neue Onion-Domänen und mehr.

Cerber ist zur einer der bekanntesten Ransomware-Familien 2016 geworden und wird häufig auch als Service (Ransomware-as-a-Service oder RaaS) verkauft. Die vielen schnellen Updates haben die Beliebtheit der Schadsoftware zudem für einige Exploit Kits enorm gesteigert. Eine der Kampagnen, die Cerber v4.0 nutzt, ist PseudoDarkleech, eine sich ständig ändernde Kampagne, die Ransomware vor allem über kompromittierte Sites ausliefert. Hier wurde bislang CrypMIC und CryptXXX eingesetzt und jetzt eben auch Cerber v4.0.

Bild 1. Diese Version von PseudoDarkleech fügt das RIG Exploit Kit direkt in die kompromittierte Site ein

Bild 2. Eine weitere Abart von PseudoDarkleech leitet Besucher auf einen Redirect Server, der sie dann wiederum zum RIG Exploit Kit führt

Auch zwei ältere Malvertisement-Kampagnen nutzen Cerber 4.0. Eine davon setzt vor allem in Asien das Magnitude Exploit Kit ein, das schon länger auf Cerber setzt. Die zweite verwendet eine gefälschte Werbung bezüglich eines Kasinos und liefert bislang Andromeda oder Betabot (Neurevt) in vielen Ländern aus. Seit Oktober jedoch nutzt auch diese Kampagne Cerber 4.0.

Bild 3. Die gefälschte Kasino-Werbung

Auch eine neue Malvertisement-Kampagne verteilte noch im September Cerber 3.0 und setzt nun auf 4.0. Die Kampagne ist vor allem in den USA, Deutschland, Spanien, Taiwan und Korea aktiv. Das Neutrino Exploit Kit wird eingesetzt, obwohl deren Hintermänner erklärt hatten, ihren Dienst eingestellt zu haben.

Bild 4. Neutrino Malvertising bietet Cerber Ransomware

Lösungen und Abwehrtaktiken

Eine der grundlegenden Schutztaktiken besteht in korrekt aufgesetzten Backup-Prozessen konform der 1-2-3-Regel (3 Kopien, 2 Medien und 1 Kopie an einem sicheren Ort). Auch muss die Sicherheitssoftware immer auf aktuellstem Stand sein.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*