Was ist Cerber-Ransomware?

Cerber-Ransomware tauchte zum ersten Mal im März 2016 auf. Da es sich um eine Ransomware-as-a-Service-(RaaS)-Malware handelt, kann sie jede Person unabhängig von Hacking- oder Programmierfähigkeiten einsetzen. Der RaaS-Kunde und der Entwickler der Malware teilen sich die finanziellen Gewinne, die durch das Erpressen von Ransomware-Opfern erzielt werden. Ransomware verschlüsselt Dateien mit kryptografisch sicherem Code, sodass das Opfer gezwungen ist, ein Lösegeld zu zahlen, um die eigenen Dateien in unverschlüsselter Form zurückzubekommen.

Der Cerber-Ransomware-Angriff beginnt mit einer Phishing-E-Mail. An diese E-Mail angehängt ist ein schädlicher E-Mail-Anhang, oft eine gezippte .DOT-Datei, die passwortgeschützt ist und ein schädliches Makro enthält, mit dem die Malware auf das lokale Gerät geladen wird. Eine andere Version von Cerber nutzt eine Windows-Script-Datei (WSF) im Anhang einer Phishing-E-Mail, mit der die Malware auf dem lokalen Gerät installiert wird.

In der ersten .DOT-Version von Cerber wurde das Passwort für das .DOT-Datei im Text der Phishing-E-Mail mitgeschickt. Eine .DOT-Datei ist eine Microsoft-Word-Vorlage, die Makros enthalten kann. Wenn der Nutzer die Datei öffnet und das Passwort eingibt, erscheint eine Nachricht mit der Aufforderung, in der Warnmeldung oben im Fenster auf den Button „Inhalte aktivieren“ zu klicken. Klickt der Nutzer auf den Button, aktiviert er das schädliche Makro.

Bei der WSF-Version von Cerber wird der Nutzer dazu animiert, die Skript-Datei zu öffnen. Durch das Öffnen der Datei führt der Nutzer das Skript aus, das daraufhin die Ransomware-Malware herunterlädt und auf dem lokalen Gerät installiert. Die Phishing-E-Mail enthält außerdem einen „Abmelden“-Link, der ebenfalls eine gezippte Datei mit dem WSF-Skript herunterlädt.

Nachdem der Nutzer die Malware installiert hat, scannt Cerber als erstes, in welchem Land sich das lokale Gerät befindet. Die Ransomware stoppt automatisch, wenn es sich um folgende Länder handelt: Armenien, Aserbaidschan, Belarus, Georgien, Kirgistan, Kasachstan, Moldawien, Russland, Turkmenistan, Tadschikistan, Ukraine und Usbekistan. Befindet sich das Gerät in einem anderen Land als in den hier aufgeführten, wird Cerber installiert, aber verschlüsselt Dateien erst beim nächsten Hochfahren des Systems.

Erst wenn der Nutzer den Computer eine Weile nicht genutzt hat und sich der Windows-Bildschirmschoner einschaltet, läuft Cerber zum ersten Mal ab. Cerber zeigt gefälschte Systembenachrichtigungen an, die den Nutzer auffordern, den Computer neu zu starten. Bei einem Neustart zwingt Cerber das System, im abgesicherten Modus mit aktiviertem Netzwerk hochzufahren. Danach wird ein weiterer Neustart, diesmal ins normale Windows, erzwungen.

Jetzt erst beginnt der Verschlüsselungsprozess. Cerber kann 442 verschiedene Dateitypen verschlüsseln und nach geteilten Laufwerken suchen. Dabei setzt Cerber die kryptografisch sicheren Verschlüsselungscodes AES-265 (symmetrisch) und RSA (asymmetrisch) ein. Beachten Sie, dass bei neueren Cerber-Versionen eine Botnetz-Funktion hinzugefügt wurde, sodass das lokale Gerät an Distributed-Denial-of-Service-(DDoS)-Angriffen teilnimmt.

Nach der Verschlüsselung speichert Cerber drei Dateien auf dem lokalen Gerät, die den Namen „DECRYPT MY FILES“ („Entschlüssele meine Dateien“) tragen. Sie enthalten Anweisungen für die Zahlung des Lösegelds. Eine Datei enthält Audio, das dem Nutzer erklärt, wie die Dateien verschlüsselt wurden und dass die Rückgabe der Dateien nur gegen eine Geldzahlung erfolgt. Die Anweisungen an den Nutzer sehen vor, dass er sich den Tor-Browser herunterlädt und mit diesem die Onion-Seite des Angreifers öffnet, wo die Zahlung getätigt werden kann.

Der Angreifer wählt mit Absicht ein nicht zu teures Lösegeld, um seine Erfolgschancen zu erhöhen. Die ursprüngliche Cerber-Lösegeldforderung betrug ungefähr 500 Dollar und musste in Bitcoin bezahlt werden.

Wie bei Ransomware üblich, beginnt auch Cerber-Ransomware mit einer Phishing-E-Mail. Diese E-Mail weist Nutzer zum Beispiel auf eine angehängte Rechnung hin, die sie öffnen sollen, um dort Informationen zum Bezahlen der Rechnung zu finden. Handelt es sich bei dem Anhang um eine WSF-Datei, installiert diese die Cerber-Ransomware. Im Fall einer .DOT-Datei von Microsoft muss der Nutzer als Erstes Makros aktivieren, damit die Ransomware heruntergeladen und installiert wird.

Es ist außerdem möglich, dass Cerber-Ransomware durch den Download von Malware auf einer schädlichen Website, Malvertising (schädliche Werbeanzeigen, die auf Malware-Downloads verlinken) oder durch das Ausführen schädlicher Pakete, die eine Vielzahl an Malware enthalten können, installiert wird. Da die Ransomware als Ransomware-as-a-Service verbreitet wird, variieren die Absenderadressen.

Wie auch andere Ransomware informiert Cerber die Opfer mit Warnmeldungen darüber, dass ihre Dateien verschlüsselt wurden. Cerber ändert dazu den Bildschirmschoner und zeigt eine Warnung an, um die Aufmerksamkeit des Nutzers zu bekommen. Danach nutzt Cerber auf der Festplatte gespeicherte Textdateien, um die Anweisungen an den Nutzer zu kommunizieren. In manchen Versionen speichert Cerber eine HTML-Datei namens __$$RECOVERY_README$$__.html auf der Festplatte oder nutzt eine Textdatei namens „DECRYPT MY FILES” („Entschlüssele meine Dateien“), um die Opfer zu informieren.

Neben Bildschirmschoner und Dateien ist ein weiteres Zeichen, dass Ihr Computer betroffen ist, die „.locked“-Dateiendung. Eine Excel-Tabelle trägt beispielsweise statt der Endung .xlsx die Endung „.locked“. Cerber kann über 400 Dateitypen verschlüsseln, wodurch alle kritischen Dateien, inklusive persönlicher Bilder, verschlüsselt werden.

Es ist zwar möglich, Cerber zu entfernen, aber sie können Ihre Dateien dadurch nicht entschlüsseln. Cerber nutzt kryptografisch sichere AES-256- und RSA-Algorithmen, weshalb die Entschlüsselung ohne Schlüssel nicht möglich ist. Es gibt jedoch keine Garantie, dass die Angreifer nach dem Erhalt des Lösegelds die Schlüssel herausrücken, weshalb Experten von einer Zahlung abraten. Manche Opfer zahlen das Lösegeld aber auch einfach aus Verzweiflung.

Auch wenn Dateien schon verschlüsselt sind, sollten Sie Cerber sofort entfernen, um die Verschlüsselung weiterer Dateien zu verhindern. Mit diesen Schritten entfernen Sie Cerber aus Ihrem System:

1. Starten Sie Ihren Computer neu im abgesicherten Modus mit aktiviertem Netzwerk. In diesem Modus sind Windows-Funktionen eingeschränkt, aber die Internetverbindung ist immer noch möglich.
2. Öffnen Sie Ihre Antivirensoftware und scannen Sie Ihren Computer. Jede wirksame Antivirenanwendung wird Cerber erkennen und aus dem System entfernen.

Nach der Verschlüsselung durch Cerber ist es unmöglich, Dateien ohne Schlüssel wieder zu entschlüsseln. Wenn Daten mit kryptografisch sicheren Algorithmen verschlüsselt wurden, können Sie nur mithilfe des Schlüssels entschlüsselt werden. Die Entwickler der Cerber-Ransomware geben den Schlüssel im Tausch gegen das Lösegeld heraus, aber Experten warnen, dass die Zahlung des Lösegelds nicht garantiert, dass Sie den Schlüssel auch tatsächlich enthalten. Manche Opfer sehen keine andere Wahl, als das Lösegeld zu zahlen.

Die einzige Möglichkeit, die Folgen einer Ransomware-Attacke ohne Lösegeldzahlung zu beseitigen, besteht im Wiederherstellen eines Backups. Individuen oder Organisationen müssen Backups ihrer Dateien an einem sicheren Ort aufbewahren. Manche Ransomware (und dazu gehört Cerber) verschlüsselt auch Backup-Dateien. Um das Verschlüsseln von Backup-Dateien zu verhindern, sollten Sie Cloudspeicher oder eine externe Festplatte nutzen, die den Standardnutzern nicht zugänglich sind.

Da Cerber mit einer Phishing-E-Mail beginnt, sollten Angestellte und Privatpersonen die Anzeichen einer schädlichen E-Mail verstehen. Der Schlüssel zur Installation der Cerber-Ransomware ist jedoch immer ein Dateianhang an der Phishing-Mail. Bei diesem Dateianhang kann es sich um eine WSF-Datei oder ein Microsoft-Word-Dokument mit einem schädlichen Makro handeln. Beide Dateien befinden sich in einem gezippten Archiv, damit E-Mail-Sicherheitsfilter sie nicht erkennen.

Wenn der anfängliche Angriff mithilfe eines Microsoft-Word-Dokuments erfolgt, muss die Zielperson die schädlichen Makros erst aktivieren. Aktuelle Versionen von Microsoft Office deaktivieren Makros automatisch, es sei denn, der Nutzer aktiviert sie gezielt. Diese Sicherheitsmaßnahme sollte nicht deaktiviert werden, um zu vermeiden, einer Malware-Installation durch Office-Dokumente zum Opfer zu fallen.

E-Mail-Sicherheitslösungen helfen dabei, Phishing-E-Mails zu blockieren, aber manchmal umgeht ein fortschrittlicher Angriff die üblichen Sicherheitsmaßnahmen. Nutzer sollten deshalb vermeiden, Anhänge von unbekannten Absendern zu öffnen, und sie sollten niemals Skripts und ausführbare Dateien öffnen. Aktivieren Sie Makros nur, wenn das Dokument von einem verifizierten, bekannten Absender stammt.

Nutzer sollten darüber hinaus nicht auf Links in verdächtigen E-Mail-Nachrichten klicken. Bei manchen Phishing-Kampagnen nutzen Angreifer gehackte E-Mail-Konten und senden schädliche Nachrichten an die Kontaktliste des gehackten Accounts. Sie können dies verhindern, indem Sie in Ihrer Organisation ein effektives Security-Awareness-Programm aufbauen.

Stellen Sie darüber hinaus sicher, dass ein Antivirenprogramm auf Ihrem Gerät läuft, wenn Sie Links anklicken, selbst wenn diese von einem bekannten Absender stammen. Vermeiden Sie das Klicken auf Links in verdächtigen E-Mails oder solchen aus unbekannten Quellen.

Erstellen Sie stets aktuelle Backups Ihrer Dateien für den Fall eines Ransomware-Angriffs. Sollten alle Sicherheitsmaßnahmen scheitern, sind Backups die einzige Möglichkeit, Dateien nach einem Ransomware-Angriff wiederherzustellen. Diese Backups sollten an einem sicheren Ort aufbewahrt werden, den Ransomware nicht scannen und auf geteilte Laufwerke zugreifen kann. Cloudspeicher sind beispielsweise ein sicherer Ort für ein Backup.

Malware muss programmiert werden, weshalb die meisten Angriffe Programmierarbeit von jemandem erfordern, der sich mit der Entwicklung von Ransomware auskennt. Cerber wird jedoch als Ransomware-as-a-Service (RaaS) verkauft, die Nutzern ohne Programmierkenntnisse alle Aspekte, von Phishing zur Malware-Installation bis hin zur Abwicklung von Zahlungen, zugänglich macht. RaaS ermöglicht es allem, die Rolle des Angreifers einzunehmen, weshalb sich Cerber im Vergleich zu anderer Malware einer größeren Beliebtheit erfreut.

Die Entwickler von Cerber haben der ursprünglichen Ransomware zahlreiche weitere Angriffsmöglichkeiten hinzugefügt. Die ursprüngliche Malware verschlüsselte Dateien wie jedes andere Ransomware-Produkt auch, aber Cerber besitzt mittlerweile zusätzlich noch eine Botnetz-Funktion, mit der RaaS-Kunden DDoS-Angriffe durchführen können. Für eine effektives DDoS sind mehrere infizierte Geräte notwendig, und RaaS bietet Botnetz-Besitzern eine bequeme Möglichkeit, auch noch Geld von ihren Opfern zu erpressen.

Ransomware-Vorfälle sind 2021 angestiegen und sind weiterhin eine beliebte Angriffsmethode. Cerber zählte 2021 zu den drei Top-Ransomware-Varianten neben Ryuk und SamSam. 2021 registrierten Forscher 52.5 Millionen Cerber-Angriffe – eine Zahl, die nur Ryuk mit 93.0 Millionen Vorfällen überbieten konnte. Forscher warnen jedoch, dass Cerber rasant an Beliebtheit gewinnt und Ryuk 2022 wahrscheinlich überholen wird.

Während Ransomware normalerweise überall auf der Welt angreift, funktioniert Cerber in einigen Ländern nicht. Doch selbst wenn Ihr Land auf der Liste der ausgeschlossenen Länder ist, sollten Sie dennoch Vorsichtsmaßnahmen gegen Cerber und andere Arten von Ransomware ergreifen. Neuere Versionen von Cerber konzentrieren sich auf Microsoft-Office-Nutzer und wurden so entwickelt, dass Sie Office-365-Sicherheitsmaßnahmen umgehen können.

Die USA und Europa gehören zu den am meisten angegriffenen Regionen. Die meisten Ransomware-Entwickler haben es auf spezifische Regionen abgesehen und bauen die Ransomware so, dass sie Malware-Erkennung und Sicherheitsmaßnahmen entgeht. Cerber zielt vor allem auf Privatpersonen, worauf der geringere Lösegeldbetrag hinweist. Ransomware, die es auf Unternehmen abgesehen hat, verlangt mehrere tausend bis hin zu mehreren Millionen an Lösegeldzahlungen.

Ohne E-Mail-Sicherheit riskieren sowohl Privatpersonen als auch Unternehmen, Ransomware zum Opfer zu fallen. Wenn die Angestellten Ihrer Organisation von zuhause arbeiten können, setzt jeder Nutzer mit Fernzugriff auf Daten Ihre Organisation dem Risiko eines Angriffs aus, weil ein privater Computer üblicherweise über schwächere Sicherheitsmaßnahmen als ein Unternehmenscomputer verfügt.

Große Unternehmen können Targeted Attack Protection (TAP) von Proofpoint einsetzen, um Angriffe zu stoppen. Dabei handelt es sich um eine effektive Möglichkeit, sich gegen Phishing, schädliche E-Mails, URLs zu von einem Angreifer kontrollierten Webanwendungen, Anhängen und anderen cloudbasierten Bedrohungen zu verteidigen. Sie können Sich außerdem auf unserem Ransomware-Informationsportal weiter zu Cerber und anderen fortschrittlichen Sicherheitsbedrohungen informieren.