Cerber es una familia relativamente nueva de ransomware que ha estado pegando fuerte en los últimos meses. En este artículo analizaremos algunas de las técnicas que utiliza para infectar a sus víctimas.
Cerber, el segundo capítulo de nuestra historia.
En el primer artículo de Historias de Ransomware ya os hablamos sobre el uso y abuso de la herramienta de Windows llamada PowerShell para infectar equipos con ransomware. La verdad es que existen muchas maneras de utilizarla ya que, como su propio nombre indica, PowerShell es una herramienta muy potente. Una de las formas más sencillas es hacer que descargue y ejecute un archivo de malware. Pero para hacerlo, primero hay que conseguir ejecutar PowerShell mediante un script, macros incluidas en documentos de Office o mediante un exploit. En el caso de Cerber lo más habitual es el uso de exploit kits o herramientas diseñadas para la explotación de vulnerabilidades.
Los datos que tenemos indican que en los últimos 3 meses hemos bloqueado más de 3000 intentos de infección que empleaban PowerShell para descargar y ejecutar malware (ransomware en este caso):
A primera vista, la mayoría del malware parece ser Cerber, aunque también se podrían haber utilizado otras familias de ransomware (mientras seamos capaces de bloquear todas las infecciones tampoco tenemos necesidad de examinar todos y cada uno de los binarios, salvo puro afán de investigación). La mayoría de estos ataques tuvieron lugar en las primeras semanas de julios. De hecho, si nos remontamos a octubre del año pasado, podemos ver que ésta es la mayor oleada de ataques con esta técnica de infección de los últimos 10 meses:
Hemos seleccionado de forma aleatoria unos cuantos de los miles de hashes que hemos bloqueado, por si os apetece “jugar” con ellos en vuestro laboratorio y proteger a vuestros clientes:
Otra forma bastante habitual hoy en día de ejecutar malware para infectar a víctimas con Cerber es mediante WMIC, la consola de Windows que permite el uso de la línea de comandos para acceder al WMI (Instrumental de Administración de Windows). Hasta ahora, todos los casos que hemos visto utilizan exploits en equipos con Internet Explorer. El método empleado es el siguiente: se descarga una muestra de malware en el equipo y, en lugar de ejecutarla directamente, se utiliza WMIC para ejecutarla ( esto tiene como objetivo camuflar el ataque como si fuese un comportamiento legítimo ya que WMIC es goodware que pertenece al sistema operativo Windows). En las últimas cuatro semanas, hemos bloqueado más de 3.000 intentos de infección que utilizaban esta técnica.
Adjuntamos una selección de algunos de los hashes de ransomware que emplean esta técnica y que hemos neutralizado en los últimos tres días:
¡Seguiremos informando!
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
