¿Qué es el ransomware Cerber?

El ransomware Cerber se descubrió en marzo de 2016. Siendo un malware del tipo ransomware-como-servicio (o RaaS, del inglés “ransomware-as-a-service”), puede ser implementado por cualquier persona sin necesidad de tener ninguna habilidad de hackeo o de programación. Cualquier beneficio monetario que se pueda extraer de la extorsión de las víctimas se reparte entre el cliente RaaS y el desarrollador del malware. Este sofware malicioso cifra los archivos con algoritmos de cifrado criptográficamente seguros, forzando a la víctima a pagar un rescate para recuperar sus archivos sin cifrar.

El ataque inicial del virus Cerber comienza con un correo electrónico de phishing. El correo electrónico contiene un archivo .DOT zipeado. El archivo .DOT está protegido por contraseña y contiene una macro malintencionada que se usa para desplegar el malware en el equipo local. Otra versión del Cerber usa un archivo Windows Script File (WSF) adjunto a un correo electrónico de phishing para instalar el malware en el dispositivo local.

En la primera versión .DOT de Cerber, la contraseña del archivo .DOT está incluida en el correo electrónico de phishing. Un archivo .DOT es una plantilla de Microsoft Word que puede contener macros. Cuando el usuario abre el archivo e introduce la contraseña, el archivo se abre con un mensaje para hacer clic en el mensaje de advertencia de “Activar contenido” en la parte superior de la ventana. Al hacer clic en este botón, el usuario habilita a la macro malintencionada para que se ejecute en su dispositivo local.

En la versión WSF de Cerber, al usuario se le anima a que abra el archivo del script. Al abrir el archivo, el usuario ejecuta el script, que después descarga e instala el ransomware en el dispositivo local. El correo electrónico de phishing también incluye un enlace de “cancelar suscripción” que lleva a la ubicación de descarga del archivo zip que contiene el script de WSF.

Después de que el usuario instala el malware, Cerber escanea la ubicación del país para el dispositivo local. El ransomware automáticamente cesa su actividad y se suspende si el país del usuario del dispositivo es uno de los siguientes: Armenia, Azerbaiyán, Bielorrusia, Georgia, Kirguizistán, Kazajistán, Moldavia, Rusia, Turkmenistán, Tayikistán, Ucrania o Uzbekistán. Si el país del dispositivo no es ninguno de estos paises mencionados, Cerber se instala, pero no cifra los archivos hasta que el sistema se reinicia.

La ejecución inicial de Cerber se ejecuta después de que el usuario ha estado inactivo durante un tiempo y ejecuta el salvapantallas de Windows. También muestra alertas de sistema falsas para obligar al usuario a reiniciar su sistema. Cuando el sistema se reinicia, Cerber lo fuerza a iniciarse en Modo Seguro con las Redes activadas. Después obliga al dispositivo a reiniciarse de nuevo en el servicio estándar de Windows.

Con el dispositivo reiniciado a Windows estándar, el virus Cerber inicia el proceso de cifrado. Es capaz de cifrar 442 tipos de archivos diferentes y de buscar unidades compartidas no asignadas. Cerber emplea algoritmos de cifrado AES-256 (simétrico) y RSA (asimétrico). Tenga presente que las versiones más recientes de Cerber también añaden una función de botnet al proceso, haciendo que el dispositivo local participe en ataques de denegación de servicio (DDoS) distribuidos.

Después del cifrado, Cerber almacena tres archivos en un dispositivo local llamado “DECRYPT MY FILES” para dar las instrucciones de pago. Un archivo incluye sonido para explicar que los archivos del usuario se encriptaron, y que es necesario hacer un pago para devolverlos. El usuario recibe instrucciones para descargar “Tor” y de usarlo para abrir la página onion del atacante, o pseudo dominio de nivel superior genérico que indica una dirección IP anónima accesible por medio de la red Tor, en donde se puede hacer el pago.

El atacante determina un monto no demasiado elevado para el rescate, de modo de maximizar su tasa de éxito. El rescate inicial que exigía Cerber era de unos 500 USD y el pago se hacía en bitcóin.

Al igual que la mayoría de los ransomware, el virus Cerber comienza con un correo electrónico de phishing. Por ejemplo, un correo electrónico de phishing podría notificar a los usuarios de que hay una factura adjunta, y que deben abrir el archivo para obtener instrucciones para el pago. Si se adjunta un script WSF, este instala el ransomware Cerber. Si se adjunta un archivo .DOT de Microsoft, el usuario debe antes habilitar las macros para que el ransomware se pueda descargar e instalar.

También es posible instalar Cerber después de descargar malware en una página web malintencionada, malvertising (publicidad malintencionada que lleva a descargas de malware) o ejecución de paquetes malintencionados que contienen diversos tipos de malware. Sin embargo, el phishing se utiliza como principal vector de ataque. Como el malware se distribuye en forma de ransomware-como-servicio, la dirección del remitente es variable.

Al igual que otros ransomware, Cerber le informa a la víctima que sus archivos se han encriptado usando alertas y notas. Cerber muestra una alerta en el ordenador de la víctima en forma de salvapantallas para llamar su atención, y después usa los archivos de texto guardados para girar instrucciones. Algunas versiones de Cerber almacenan un archivo HTML llamado __$$RECOVERY_README$$__.html en la unidad o usa un archivo de texto llamado “DECRYPT MY FILES” para alertar a las víctimas.

Además del fondo de pantalla y las alertas de archivo, otra señal de que su dispositivo está afectado son los archivos con la extensión “.locked”. En vez de una hoja de cálculo con la extensión “.xlsx”, sus archivos de hojas de cálculo tendrán la extensión “.locked”. Cerber es capaz de cifrar más de 400 tipos de archivos, así que todos los archivos clave, incluyendo imágenes personales, serán cifrados.

Eliminar los archivos del ransomware Cerber es posible, pero no es posible descifrar sus archivos. Cerber emplea algoritmos de cifrado seguro AES-256 y RSA, así que la única manera de descifrar los archivos es con las claves. Como no hay garantía de recibir las claves después de pagar, los expertos sugieren no pagar el rescate. Sin embargo, algunas víctimas pagan el rescate por desesperación.

Incluso si los archivos ya están cifrados, eliminar el Cerber de inmediato es importante para evitar cualquier cifrado adicional de los archivos. Para eliminar Cerber de su sistema:

1. Reinicie su ordenador e inicie Windows en modo seguro con redes. Este modo limita las funcionalidades de Windows, pero le permite acceder a internet.
2. Abra su software antivirus y permítale escanear su ordenador. Cualquier aplicación antivirus eficaz detectará y eliminará a Cerber del sistema.

Es imposible descifrar archivos cifrados por un ransomware Cerber. La única manera de descifrar los datos después de que los hayan cifrado con algoritmos criptográficamente seguros es usando la clave. Los autores del ransomware Cerber ofrecen la clave a cambio del pago del rescate, pero los expertos advierten que pagar el rescate no garantiza que se reciba la clave. Algunas víctimas sienten que su única opción es pagar el rescate.

La única solución para remediar un ataque de ransomware es recuperar la copia de seguridad o backup. Los individuos u organizaciones deben conservar copias de seguridad en ubicaciones seguras. Algunos ransomware (incluyendo Cerber) cifran las copias de seguridad. Para evitar que le cifren su backup, use almacenamiento basado en la nube o una unidad extraíble que sea inaccesible a los usuarios estándar.

Como Cerber comienza por un correo electrónico de phishing, los empleados e individuos deben comprender las señales de un correo electrónico malintencionado. Sin embargo, la modalidad principal para iniciar la instalación del ransomware Cerber es un archivo adjunto al correo electrónico de phishing. El archivo adjunto puede ser un archivo de script de WSF o un documento de Microsoft Word con una macro malintencionada. Ambos archivos están comprimidos dentro de un archivo ZIP para evitar su detección por los filtros de seguridad para correo electrónico.

Si el ataque inicial usa un documento de Microsoft Word, el usuario objetivo debe permitir que se ejecute la macro malintencionada. Las versiones actuales de Microsoft Office desactivan la ejecución automática de macros a menos que el usuario específicamente desactive esta funcionalidad. La funcionalidad de seguridad no debería desactivarse para evitar el caer víctima de una instalación de malware desde un documento de Office.

Las soluciones de seguridad para correo electrónico ayudan a bloquear los correos electrónicos de phishing, pero un ataque sofisticado evade los controles de seguridad más comunes. Los usuarios deben evitar el abrir archivos adjuntos de remitentes desconocidos, y jamás deben abrir o ejecutar scripts o archivos binarios. Evite ejecutar macros a menos que el documento provenga de un remitente verificado y conocido.

Los usuarios no deben hacer clic en enlaces contenidos en mensajes sospechosos de correo electrónico. En algunas campañas de phishing, un atacante usa cuentas de correo electrónico hackeadas y envía mensajes malintencionados a la lista de contactos de la cuenta hackeada. Una buena manera de hacer esto es garantizar que su organización tenga un programa para concienciar en materia de ciberseguridad eficaz.

Asegúrese de que el software antivirus se ejecute en el dispositivo cuando haga clic en enlaces, incluso si es de un remitente conocido. Evite clicar sobre enlaces en correos electrónicos sospechosos o de fuentes desconocidas.

Respalde con frecuencia los archivos en caso de un ataque de ransomware. Si todas las salvaguardas fallan, los respaldos son la única manera de recuperarse del ransomware. Estos respaldos deben almacenarse en una ubicación segura donde el ransomware no pueda escanear o acceder a unidades asignadas o sin asignar. El almacenamiento en la nube, por ejemplo, es una ubicación de almacenamiento seguro.

Los programas de malware necesitan tener un autor, así que la mayoría de los ataques requieren de la existencia de alguien que sepa cómo se crea el ransomware. Sin embargo, el Cerber se vende como “ransomware como servicio” (RaaS), lo que ofrece todos los aspectos de phishing, instalación de malware y pagos a personas que no sepan de programación. El RaaS le permite a cualquiera convertirse en atacante, haciendo que Cerber sea más popular que otros softwares maliciosos.

Los autores del Cerber han agregado diversos ataques adicionales al ransomware inicial. El malware inicial cifraba archivos al igual que cualquier otro ransomware, pero Cerber ahora tiene una función de botnet que les permite a los clientes de RaaS usarlo para ejecutar ataques de DDoS. Un DDoS eficaz necesita tener infectados varios dispositivos, y el RaaS les brinda a los propietarios de la botnet una manera muy cómoda de extorsionar dinero a sus víctimas.

Los incidentes de ransomware se incrementaron en el 2021 y siguen siendo un popular método de ataque. Cerber estuvo entre las principales tres variantes de ransomware en 2021, junto con el Ryuk y el SamSam. Los investigadores detectaron 52.5 millones de ataques de Cerber en 2021, solo superados por las 93.9 millones de instancias de Ryuk. Sin embargo, los investigadores advierten de que la popularidad de Cerber está sobrepasando a la de Ryuk en 2022.

Si bien el ransomware es un ataque global, Cerber no se activa en ciertos países específicos. Incluso si su país está en la lista de los excluidos, es recomendable tomar precauciones para evitar a Cerber y a otros ransomware. Las versiones recientes de Cerber se enfocaban en usuarios de Microsoft Office, y fueron creadas para evadir la seguridad de Office 365.

Los EE. UU. y Europa son las regiones más atacadas. La mayoría de los autores de ransomware se enfocan en regiones específicas y crean ransomware para evadir las medidas de detección y seguridad. El Cerber se enfoca principalmente en individuos, cosa que queda patente en las pequeñas sumas que suelen pedir como rescate. Los ransomware orientados a organizaciones pueden llegar a pedir miles e incluso millones por concepto de pagos de rescates.

Sin correo electrónico o seguridad, existe el riesgo de convertirse en víctima de ransomware, ya sea como individuo o como organización. Si su organización tiene una fuerza laboral que teletrabaja, cualquier usuario con acceso remoto a los datos pone en riesgo de ataque a su organización debido a su uso de una seguridad menos sólida (que la de nivel corporativo) en un ordenador personal en su casa.

Para detener los ataques, las organizaciones pueden usar la protección contra ataques dirigidos (TAP, del inglés “Targeted Attack Protection”) de Proofpoint. Es una manera eficaz de defenderse contra el phishing, correos electrónicos malintencionados, URL que llevan a aplicaciones controladas por el atacante, archivos adjuntos y otras amenazas basadas en la nube. También puede ver nuestro portal de ransomware para tener más información acerca de Cerber y otras amenazas sofisticadas para la seguridad.