Nueva variante del ransomware Cerber muta cada 15 segundos
Cerber es una de las amenazas ransomware más activas al día de hoy, apoyados por un grupo que ha puesto todo su tiempo y los recursos para crecer y evolucionar las operaciones de su carga de software malicioso.
El ransomware ha cambiado constantemente desde el comienzo del año, cuando fue visto por primera vez, y nadie ha sido capaz de crear un descifrador gratuito hasta ahora.
Cerber se une al grupo de familias de malware polimórfico
la firma de seguridad estadounidense Invincea ha informado sobre el cambio más reciente en el modo de operación de Cerber. La compañía dice que mientras que estaba analizando un archivo de registro de las últimas técnicas de infección de Cerber e intentando reproducir la cadena de infección, sus analistas consiguieron una carga útil del ransomware Cerber con un hash de archivo diferente.
Al volver a intentar la cadena de infección después de unos momentos, los investigadores lograron que obtener una tercera variante, y luego una cuarta, y así sucesivamente. No tardaron mucho en darse cuenta de que los servidores de Cerber C & C estaban produciendo binarios de Cerber con los hashes de archivos diferentes cada 15 segundos.
Este fue un signo revelador de que utilizaban la técnica "malware factory", una línea de montaje automatizada que pone cargas útiles junto a Cerber pero hace pequeñas modificaciones a la estructura interna del archivo con el fin de generar archivos con valores hash únicos.
¿Cerber fue creado en septiembre del 2015?
Una mirada más profunda a las cargas útiles de Cerber mostraron una conexión a una muestra de archivo sospechoso recogida en septiembre del 2015, después de ser entregado por el kit exploit Neutrino.
Esto podría ser una de las primeras muestras del ransomware Cerber, mucho antes de que los investigadores lo descubrieran a fines de febrero o principios de marzo .
Invincea también dice que previamente descubrio una muestra Cerber que incluía la capacidad de lanzar ataques DDoS .