Cerber ransomware
Kao da nije bilo dovoljno što vam je računar kriptovan i beskoristan, sad u isto vreme služi kao bot za DDoS napade.
Cerber ransomware-a ima dodatnu funkciju – koristi vaš računar za DDoS napade
Kao da nije bilo dovoljno što vam je računar kriptovan i beskoristan, sad u isto vreme služi kao bot za DDoS napade. Ovo je prvi put da je DDoS malver dodat ransomware-u. To praktično znači sledeće: žrtva napada ne može da pristupi endpoint-u, a istovremeno se isti endpoint koristi kako bi naneo štetu drugoj žrtvi. Dva napada „po ceni jednog“ (i dva načina na koji napadači mogu da zarade). Rentiranje DDoS botova na Dark Web-u je veoma unosan posao, iako su cene poslednjih godina pale.
Cerber ransomware
Ovaj, kao i veliki broj drugih ransomware-a se oslanja na metode socijalnog inženjeringa, gde je cilj da zaposleni aktivira opciju Macro-a u Office-u, koja onda pokreće malicioznu Visual Basic skriptu koja dalje preuzima i pokreće malver. Prvo se pokreće ransomware, koji kriptuje podatke i blokira pristup računaru zaključavajući ekran. Nakon toga, pokreće se komanda koja omogućava da se računar koristi kao bot za DDoS napade.
Napadači su dakle koristili Visual Basic programski jezik kako bi lansirali file-less napad (napad koji se zapisuje direktno u RAM memoriju tj. kad se malver ne nalazi u fajlu). Većina antivirusa nije upoznata sa ovim metodama napada. Posledično, mogu da primete problem tek kad je malver na disku, a onda je najčešće kasno.
Saveti za zaštitu od ransomware-a
Cerber ransomware donosi dva načina zarade za napadače. Prvi je ukoliko žrtva plati otkupninu kako bi dobila svoje zaključane podatke, a drugi je taj da, čak i ako ne plati, njen računar može da se koristi kao bot za DDoS napade.
- Kad dođe do ransomware infekcije, obavezno prvo očistite računar i izvršite reinstalaciju sistema.
- Ako nemate Secure Email Gateway (SEG), nabavite onaj koji ima filtriranje URL adresa i izvršite odgovarajuća podešavanja.
- Endpoint-i moraju uvek da imaju neophodne zakrpe, uključujući i OS i sve aplikacije.
- Endpoint-i i web-gateway moraju da imaju nivoe zaštite nove generacije koji se ažuriraju na nekoliko sati ili kraće.
- Identifikujte korisnike koji imaju pristup osetljivim informacijama i primenite neku formu strožije autentifikacije.
- Prekontrolišite interne polise i procedure bezbednosti, naročito one vezane za finansijske transakcije kako bi sprečili „direktorske imejl prevare“ (eng. CEO Fraud).
- Proverite konfiguraciju firewall-a i postarajte se da ne bude dozvoljen ilegalni odlazni saobraćaj.
- Organizujte obuku za zaposlene, kako bi bili svesni kako phishing napadi funcionišu. Obuka bi trebalo da sadrži i sumulacije različitih phishing napada.
Izvor: https://www.helpnetsecurity.com/2016/05/24/cerber-ransomware-ddos/