martedì 18 aprile 2017

Cerber domina il mondo dei ransomware dopo la morte di Locky



La famiglia dei ransomware Cerber sta "rubando il posto" sulla vetta della montagna dei ransomware, dopo che non si sono più individuate nuove versioni di Locky e, al contrario, si è registrata una brusca riduzione delle campagne di diffusione dello stesso.

L'ascesa di Cerber è dovuta al fatto che quest'anno sono state rilasciate nuove versioni, tra cui una molto pericolosa che include alcune caratteristiche che la rendono capace di eludere i software di sicurezza che usano sistemi di individuazione comportamentale e di apprendimento automatico.Cerber ha anche un'altra differenza rispetto a Locky o TeslaCrypt (il ransomware leader della categoria nel 2016): non viene distribuito infatti da un singolo o da un gruppo, ma ha adottato il modello commerciale dei RaaS (ransomware as a service). Viene cioè venduto come servizio ad acquirenti che guadagnano dai riscatti e cedono una parte ai gestori del servizio.


La pagina di login del portale di gestione di Cerber

In sunto il flusso di nuove versioni di Cerber, l'abbandono da parte della botnet Necurs della diffusione di Locky e il passaggio alla distribuzione di altri payload, hanno consentito a Cerber di diventare padrone delle scene finendo, secondo i dati di Malwarebyte, a occupare quasi il 90% del flusso di distribuzione di ransomware (una percentuale molto vicina a quella registrata da TeslaCrypt nel Maggio 2016).  



Per quanto riguarda la diffusione alle aziende, i dati Microsoft mostrano che Cerber è il primo in classifica tra i ransomware che più, tra il Dicembre 2016 e il Gennaio 2017, ha colpito gli endpoint aziendali. 



Cosa potrebbe accadere?
Generalmente un ransomware non dura molto sul podio: i motivi sono molteplici. I suoi programmatori potrebbero infatti auto-dismettere il proprio ransomware: TeslaCyrpt fu "suicidato" dai propri sviluppatori che, per ragioni ad oggi sconosciute, resero pubblica la master key necessari a risolvere la criptazione. Oppure potrebbero modificare il modello di distribuzione, come accaduto con Locky: il divorzio tra Locky e la botnet Necurs ha prodotto un quasi totale stop di diffusione dei ransomware di quella famiglia. Qualcuno semplicemente finisce in arresto e la catena si interrompe.

In alcuni casi invece è la concorrenza che "risolve" il problema: Cerber ha infatti un concorrente non di secondo ordine, il ransomware Spora.

Che cosa è accaduto a Locky?
Il successo di Locky si è basato non solo sulla solidità del suo algoritmo di criptazione, ma anche sulla diffusione capillare che gli consentiva la netbot Necurs, capace di inviare milioni di email di spam e infette ogni giorno. Per la netbot Necurs la diffusione di Locky fu un vero e proprio "upgrade": prima infatti si limitava alla mera distribuzione del trojan bancario Dridex.Tra il Natale 2016 e la metà di Gennaio 2017 la botnet Necurs scompare improvvisamente dalle scene, per poi ritornare in attività. Non sappiamo che cosa sia accaduto, fatto sta che quando la netbot torna in attività non distribuisce più il payload di Locky, ma quello di Cerber.  Le due immagini sotto (fonte ID-Ransomware) mostrano la riduzione della diffusione di Locky, praticamente contemporanea all'aumento della diffusione di Cerber. 

Diffusione del ransomware Locky
Diffusione del ransomware Cerber
Nessuna nuova versione...
Prima del periodo natalizio dl 2016, Locky subiva aggiornamenti praticamente mensili attraverso la diffusione di nuove versioni. Locky fu seguito da Zepto, Odin, Shit, Thor, Aesir, ZZZZZ e Osiris. Poi, da Dicembre 2016, nessuna nuova versione. 

Non è del tutto azzardato quindi affermare che Locky sia un ransomware in via di dismissione (a meno di colpi di scena). In questo caso, la speranza è che venga pubblicata la master Key..

Nessun commento:

Posta un commento