Analisi di Cerber Ransomware

Il primo dei ransomware-as-a-service che ha aperto la strada a decine di altre minacce simili.

Il mercato dei ransomware ha assistito ad una vera e propria esplosione negli ultimi anni.
Questo grazie all’avvento dei fenomeni conosciuti come cybercrime-as-a-service e ransomware-as-a-service.

Le origini di Cerber ransomware
Come funziona Cerber?
Best practices contro Cerber e ransomware-as-a-service

Tali modelli di business hanno permesso a chiunque, anche chi sprovvisto delle competenze tecniche necessarie, di accedere a strumenti di attacco completi e versatili. Il tutto in cambio di una percentuale sul riscatto da corrispondere agli autori degli stessi.

Tuttavia, le origini del fenomeno risalgono a ben prima della pandemia di Covid-19, tutto grazie ad un ransomware che per primo ha deciso di abbracciare questo modello. Stiamo parlando di Cerber ransomware, il capostipite dei ransomware-as-a-service e il punto di svolta nello sviluppo degli strumenti di attacco. Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Le origini di Cerber ransomware

Scoperto per la prima volta a marzo 2016, il ransomware Cerber si è distinto sin dal principio proprio per l’incredibile popolarità di cui ha goduto nei forum di hacking. Questo perché non si tratta di un semplice ransomware, ma di uno strumento versatile e completo messo a disposizione di quanti sono intenzionati a compiere un attacco. Sebbene le menti dietro la sua creazione non siano mai state identificate, ciò che li ha resi lungimiranti è stata proprio la strategia adottata.
Essa ha infatti permesso a Cerber di spiccare tra gli altri esponenti del genere, dando vita al modello ransomware-as-a-service (RaaS).

La scelta del nome non è casuale, in quanto è un rimando al cane infernale Cerbero, con cui condivide l’estrema ferocia.
Inoltre, il suo modus operandi è quello divenuto in seguito un caposaldo del modello: la tattica della doppia estorsione. Una volta che questi si infiltra nel sistema delle vittime, cripta in maniera repentina tutti i dati sensibili, li esfiltra verso il server C2 degli attori malevoli e procede alla tecnica della doppia estorsione: riscatto in denaro in cambio della chiave di decriptazione.

A seguito delle analisi condotte dagli esperti di seqrlite, sono state scoperte svariate informazioni salienti presenti nel codice di Cerber. Tra quelle maggiormente interessanti si citano:

una blacklist di estensioni, file e cartelle da non criptare;
la lista delle estensioni di file da criptare;
chiave pubblica RSA criptata in Base64 e la ransom note in formato HTML;
un’ulteriore ransom note in formato .txt;

Tuttavia, è stata portata alla luce anche una lista di nazioni da escludere dagli attacchi. Nello specifico si tratta di:

Armenia;
Azerbaijan;
Bilorussia;
Georgia;
Kyrgyzstan;
Kazakhistan;
Moldavia;
Russia;
Turkmenistan;
Tajikistan;
Ucraina;
Uzbekistan;

Ciò ha portato i ricercatori e gli esperti di sicurezza informatica a credere che gli autori di Cerber possano essere russi, in parte affiliati al temuto collettivo Conti.

Come funziona Cerber?

Scritto interamente in C++, Cerber prende di mira i sistemi operativi Microsoft Windows, più nello specifico le versioni 7, 8, 8.1 e 10.
La sua struttura modulare lo rende incredibilmente versatile ed efficace, in quanto capace di adattarsi alle esigenze di chi lo usa e alla tipologia di attacco che questi mette in atto. Come se non bastasse alcune sue funzioni di base sono strutturate in modo che possa non solo esercitare una certa persistenza nel sistema, ma che riesca anche a risultare invisibile ai controlli dell’antivirus.
Vediamo più nel dettaglio come si svolge un suo attacco.

Diffusione tramite phishing

Ogni attacco di Cerber inizia sempre con la sua diffusione nel sistema delle vittime. Ciò avviene con le classiche campagne di phishing e malspam.
Il ransomware giunge, infatti, camuffato da innocuo allegato via e-mail. Questo si presenta come un file in formato DOT, ovvero lo standard dei documenti Word dotati di macro. Alcune versioni successive del ransomware sono passate all’allegato in formato WSF (Windows Script File). Quando l’utente incauto lo apre e seleziona la voce “Abilita contenuto”, viene eseguito il payload malevolo, che effettua il deploy di Cerber nel sistema.

Ricerca di mutex e connessioni esterne

Nel momento in cui il ransomware si installa, va immediatamente alla ricerca di uno specifico mutex in esecuzione sulla macchina.
Questo è un meccanismo intrinseco al suo codice, per prevenire una nuova infezione su un sistema già infettato in precedenza. Se viene rilevato, la sua esecuzione si interrompe, altrimenti procede come previsto dal flusso di esecuzione. Per esercitare una propria persistenza nel sistema, Cerber ricorre all’alterazione delle regole firewall di Windows. Così facendo ostacola il traffico in uscita delle misure di sicurezza, offuscandosi agli scanner degli antivirus e potendo ottenere la persistenza nel sistema.

Completata questa fase, Cerber stabilisce una serie di connessioni sulla porta 6893 sugli IP specificati dal CIDR (Classless Inter-Domain Routing) nella sua configurazione. In tal modo gli attori malevoli che gestiscono il server C2 di riferimento, entrano in possesso delle informazioni salienti del sistema compromesso. La struttura di questo pacchetto si presenta complessivamente così:

{PARTNER_ID}{OS}{IS_X64}{IS_ADMIN}{COUNT_FILES}{STOP_REASON}{STATUS}.

Nello specifico le informazioni racchiuse in queste stringhe sono le seguenti:

MD5_KEY: Hash GUID della macchina;
parametri del sistema;
dettagli sul sistema operativo;
i privilegi amministrativi;
il numero di files presenti sul sistema;
se ci sono state, o meno, ragioni dietro un arresto repentino;
status del sistema;

Nonostante questa raccolta di informazioni, bisogna evidenziare che Cerber è sprovvisto di un modulo clipper, come accade in altri esponenti del genere. Tuttavia, questa ha lo scopo di profilare le vittime e di rendere i successivi attacchi potenzialmente più pericolosi e subdoli.

Criptazione ed esfiltrazione dei dati sensibili

Ottenute queste informazioni, gli attori malevoli procedono all’attacco vero e proprio. Cerber è quindi libero di agire nel sistema, andando alla ricerca dei file da criptare. Vengono evitate volutamente le cartelle di sistema, come Windows, Program Files e il Cestino. Questo perché non si vuole compromettere in toto il funzionamento del sistema operativo, ma colpire solo i dati sensibili della vittima. Il processo di criptazione avviene mediante il sempreverde algoritmo AES-256, combinato con RSA-2048. La chiave AES è unica per ogni file criptato, che viene a sua volta criptata con la chiave pubblica RSA del ransomware. Ciò rende pressoché impossibile qualsiasi tentativo di decriptazione senza la chiave privata.

Le cose sono rese ulteriormente più gravi dall’impiego della doppia estensione. In pratica viene aggiunto un suffisso unico, solitamente .cerber, al file risultante e al suo interno viene inoltre inserita una copia della chiave cifrata. Questo passaggio è cruciale non solo per rendere il lavoro di decriptazione ancora più complicato, ma soprattutto per far accorgere la vittima dell’avvenuto attacco.

Ransom note e doppia estorsione

Al termine del processo di criptazione, Cerber rilascia la sua ransom note in ciascuna cartella contenente i file criptati. Questa è di due tipi: un file HTML, o un comune .txt apribile col Blocco note. La nota informa la vittima dell’attacco e fornisce un link a un sito su rete Tor, contenente le istruzioni per il pagamento del riscatto in Bitcoin. A differenza di molti altri ransomware, Cerber include anche un sistema di ricatto psicologico. Ad ogni riavvio di sistema, viene riprodotta una voce registrata che legge la ransom note. In tal modo la pressione emotiva viene alimentata ulteriormente.

Solitamente il riscatto si aggira tra i 500 e i 1000 dollari in BitCoin per utenti individuali e piccole aziende. Tuttavia, la cifra aumenta di almeno cento volte per le grandi imprese e organizzazioni del settore. La situazione è ulteriormente aggravata dalla presenza di una scadenza imposta a 7 giorni in cui corrispondere il pagamento. Superata tale soglia, l’ammontare del riscatto raddoppia. Se la vittima ignora ulteriormente gli avvisi, i criminali pubblicano su rete Tor tutti i dati sensibili esfiltrati.

Best practices contro Cerber e ransomware-as-a-service

Una procedura univoca per prevedere un attacco da parte di un ransomware come Cerber, è pressoché impossibile. Poiché questo tipo di attacchi prendono di mira soprattutto aziende e organizzazioni, restano sempre dei consigli su come evitare una possibile infezione e mitigare i danni.

Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
Adottare una soluzione di filtraggio e-mail efficace.
Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
Implementare un piano di monitoraggio degli endpoint affidabile.
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.
Effettuare un backup del database e dei propri servizi online.
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

Cerber è stato uno dei ransomware che per primi hanno reso accessibili a chiunque strumenti di attacco avanzati e completi.
In un contesto informatico in cui le minacce si evolvono di giorno in giorno, tali minacce ci ricordano continuamente quanto sia cruciale adottare misure di prevenzione efficaci. Viviamo in un’epoca in cui la tecnologia è pervasiva, ma il nostro rapporto con essa è ancora spesso superficiale e improntato alla comodità. Ignorare le regole di base della cybersecurity non è più un’opzione praticabile. Difendersi dai ransomware e da altre minacce informatiche, è un compito che coinvolge soprattutto noi: gli utenti comuni.

Se si vuole contrastare l’ascesa dei collettivi criminali, si deve considerare la sicurezza informatica come parte integrante della nostra vita digitale quotidiana.
Solo così possiamo costruire una resilienza collettiva, proteggendo non solo le nostre informazioni personali, ma l’intero ecosistema tecnologico su cui, ormai, facciamo affidamento.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.