Cerberdecrypt.com — nowe narzędzie i usługa internetowa do deszyfracji plików od Check Point [Aktualizacja]

16 sierpnia, 2016

Epidemia ransomware wciąż szaleje, szyfrując pliki zarówno osób prywatnych jak i firm. Ransomware powoli staje się problemem globalnym – wg FBI, skumulowane przychody z takiej działalności sięgnęły 209 milionów dolarów w pierwszym kwartale 2016 roku. Nasuwa się pytanie – dokąd trafiają te pieniądze?

Dotychczas większość operacji ransomware (ransom – okup) przeprowadzonych było przez jednego atakującego – twórca malware był również dystrybutorem i jedyną osobą czerpiącą zyski z okupu. Jednak od jakiegoś czasu obserwujemy wzrost tzw. trendu ransomware-as-a-service, czyli hakerskich usług związanych z e-okupami. Twórca rekrutuje swoich partnerów, którzy dystrybuują oprogramowanie w zamian za udział w zyskach. Taka taktyka pozwala na szersze rozpowszechnienie malware i generowanie wyższych zysków. Co ważne, obecna sytuacja pozwala nawet osobom nietechnicznym prowadzić wysokodochodowy „biznes”, uruchamiając niezależne kampanie za pomocą przypisanego zestawu serwerów C&C (Command&Control) i kompleksowego panelu sterowania.

Do tej pory ransomware-as-a-service był nieznanym zjawiskiem wśród działań cyberprzestępców. Niewiele wiedziano na temat działania tego specyficznego systemu franczyzowego, co utrudniało efektywne śledzenie przestępców. Firmy Check Point i IntSights przeprowadziły w ostatnim czasie śledztwo w sprawie Cerber, jednego z najpotężniejszych ransomware-as-a-service na świecie. Opublikowany przez Check Pointa raport ujawnia nie tylko szczegóły techniczne przedsięwzięcia ale również porusza kwestie funkcjonowania „franczyzy” od początku do końca.

mapCERBER
Skala ataków na świecie

Cerber – maszynka do zarabiania pieniędzy

Cerber posiada szeroki system dystrybucyjny, a jego popularność wiąże się m.in. z bezproblemowym zaadaptowaniem do wiodących exploit-kitów. Dzięki monitorowaniu komunikacji C&C, Check Point był w stanie stworzyć pełen obraz funkcjonowania tego ransomware. Być może najbardziej intrygującym aspektem Cerbera jest jego cash flow. Cerber używa kryptowaluty BitCoin, która pozwala uniknąć wszczęcia przez odpowiednie organy śledztwa, tworząc przy tym unikalny portfel BitCoinów dla każdej ze swoich ofiar z osobna. Po zapłaceniu okupu (wynoszącym zazwyczaj 1 Bitcoin, wart około 2240zł) ofiara otrzymuje klucz do deszyfrowania plików. Następnie BitCoiny trafiają do twórcy malware, przechodząc po drodze przez platformę miksującą, zawierającą dziesiątki tysięcy różnych portfeli, co praktycznie uniemożliwia namierzenie każdej operacji z osobna. W końcu, po zaksięgowaniu BitCoinów w portfelu dewelopera malware, każdy z partnerów otrzymuje swój własny procent od zysków.

Dzięki monitorowaniu danych dostarczonych przez serwery C&C, Check Point zdołał odtworzyć rzeczywiste portfele ofiar, co może pomóc w skutecznym monitorowaniu płatności i transakcji z udziałem każdego z tych portfeli. Jak twierdzą przedstawiciele firmy, dzięki dokładnym analizom Check Point jest w stanie jest w stanie wskazać rzeczywiste dochody uzyskiwane za pomocą złośliwego oprogramowania, jak i śledzić właściwy przepływ pieniędzy.Zysk całkowity uzyskany za pomocą Cerbera wynosił w lipcu 195 tys. dolarów, z czego główny deweloper uzyskał około 78 tys. Reszta podzielona została wśród współpracowników, w oparciu o ilość skutecznych infekcji i zapłacone okupy. Szacuje się, że w rocznej perspektywie zyski całkowite kampanii mogą sięgać nawet 2,3 miliona dolarów!

Cerber popularny również w Polsce

Obecnie Cerber co miesiąc prowadzi blisko 160 kampanii, skierowanych przeciw 150 tys. użytkowników na całym świecie. Każdego dnia uruchamia się średnio 8 kampanii!Jak twierdzą analitycy z Check Pointa źródłem Cerber jest prawdopodobnie Rosja. Co ciekawe pliki konfiguracyjne wskazują, że malware nie zaraża urządzeń z części byłego bloku wschodniego: Armenii, Azerbejdżanu, Białorusi, Gruzji, Kirgistanu, Kazachstanu, Mołdawii, Rosji, Turkmenistanu, Tadżykistanu, Ukrainy i Uzbekistanu. Najczęściej do ataków prowadzonych za pomocą Cerbera dochodzi w Korei Południowej – to tam realizowanych jest blisko 40% wszystkich kampanii. Wśród najbardziej zagrożonych państw znajdują się również Chiny (9%), Tajwan (6%) i Stany Zjednoczone (5%). Wg raportu, w Polce w najbardziej „gorących” miesiącach mogło dochodzić nawet do 15 tys. ataków! To wartość przybliżona do Francji czy Wielkiej Brytanii, jednak mniejsza niż w Niemczech, we Włoszech (2% wszystkich ataków) czy w Rumunii. Firma Check Point, w ramach badań nad Cerberem, przygotowała dekryptor dla obu wersji ransomware, który jest dostępny pod adresem: http://cerberdecrypt.com

Aktualizacja 31.08.2016 17:05

Jak się okazało, przestępcy zdołali naprawić wadę w ransomware Cerber, która pozwalała opracowanemu przez Check Pointowi narzędziu „oszukać” serwery hakerów informując je, że okup został opłacony. Aktualnie Check Point pracuje już nad kolejnymi sposobami walki z ransomware Cerber. 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
9 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]