E'stata individuata "in the wild" qualche giorno fa una nuova versione del ransomware Cerber: la particolarità di questa versione è che contiene una funzione dedicata alla ricerca di prodotti per la sicurezza installati sulla macchina sotto attacco, al fine di non criptarne i file. In sunto, se anche un computer viene infettato da questa versione di Cerber firewall, antivirus, antispyware e prodotti simili continueranno a funzionare durante e anche dopo la fine del processo di criptazione.
Il perchè di questa scelta resta del tutto sconosciuto e ha sorpreso non poco i ricercatori di sicurezza: solitamente infatti i cyber-criminali programmano i propri malware affinché siano dotati di strumenti e eseguano azioni che li mettano più al riparo possibile dall'individuazione da parte dei software antivirus e dei firewall. In questo caso invece Cerber organizza una vera e propria "white-list" dei file relativi ai software di sicurezza.
 |
| Fonte Trend Micro: la white list di Cerber
Nel dettaglio, per svolgere queste operazioni, Cerber usa Windows Management Interface (WMI) per "interrogare" il computer infetto riguardo a 3 classi di software: FirewallProduct, AntiVirusProduct, AntiSpywareProduct. Una volta individuati i software presenti nella macchina e rispondenti a queste 3 classi, Cerber li aggiunge alla whitelist e non li tocca più.
Il fatto che sia uno strano comportamento lo abbiamo già detto, ma pare essere anche inutile, dato che le versioni precedenti di Cerber già avevano funzioni volte all'individuazione e iscrizione in whitelis del file .exe e .dll. |
Gli autori di Cerber si prendono gioco dei vendor di sicurezza?
Questo si domandano dalle parti di Bleeping Computer: vogliono per caso dimostrare che Cerber può entrare nei pc e criptare i file anche se gli antivirus e tutte le difese sono attive e funzionanti? Però solo questa variante mostra tale comportamento e non sembra che si stia diffondendo questo comportamenti alle versioni precedenti, la maggior parte dei quali sono ancora circolanti (vedi qui). Quindi la vera domanda sorge spontanea: è possibile che Cerber sia ormai un RaaS (leggi qui per saperne di più) e che questa modifica sia il frutto di uno degli "affittuari" del ransomware?
Anche perché tutto il resto è identico: il meccanismo di criptazione, la richiesta di riscatto, il walppaper mostrato sul desktop a fine del processo di criptazione, le stesse cartelle messe in whitelist ecc...
Nessun commento:
Posta un commento