Qu'est-ce que le ransomware Cerber ?

Le ransomware Cerber a été découvert en mars 2016. En tant que ransomware-as-a-service (RaaS), il peut être déployé par n'importe qui sans aucune compétence en piratage ou en codage.

Tout l'argent gagné par l'extorsion des victimes de ransomware est partagé entre le client RaaS et le développeur du malware. Le ransomware chiffre les fichiers à l'aide de codes cryptographiques sécurisés, obligeant la victime à payer une rançon pour récupérer ses fichiers non chiffrés.

L'attaque initiale du Cerber Ransomware commence par un email de phishing. L'e-mail contient un fichier .DOT zippé. Ce fichier .DOT est protégé par un mot de passe et contient une macro malveillante utilisée pour déployer le logiciel malveillant sur la machine locale. Une autre version de Cerber utilise un fichier de script Windows (WSF) joint à un e-mail de phishing pour installer le malware sur le périphérique local.

Dans la première version .DOT de Cerber, le mot de passe du fichier .DOT est inclus dans l'e-mail de phishing. Un fichier .DOT est un modèle Microsoft Word qui peut contenir des macros. Lorsque l'utilisateur ouvre le fichier et saisit le mot de passe, le fichier s'ouvre avec un message invitant à cliquer sur le message d'avertissement “Activer le contenu” en haut de la fenêtre. En cliquant sur ce bouton, l'utilisateur autorise l'exécution de la macro malveillante sur son appareil local.

Avec la version WSF de Cerber, l'utilisateur est encouragé à ouvrir le fichier script. En ouvrant le fichier, l'utilisateur exécute le script qui télécharge et installe ensuite le ransomware malveillant sur l'appareil local. L'e-mail d'hameçonnage contient également un lien de “désinscription” pointant vers l'emplacement de téléchargement du fichier zip contenant le script WSF.

Une fois que l'utilisateur a installé le malware, Cerber analyse d'abord l'emplacement du pays de l'appareil local. Le ransomware cesse automatiquement son activité et se termine si le pays de l'appareil de l'utilisateur est l'un des suivants : Arménie, Azerbaïdjan, Belarus, Géorgie, Kirghizistan, Kazakhstan, Moldavie, Russie, Turkménistan, Tadjikistan, Ukraine, Ouzbékistan. Si le pays du périphérique n'est pas l'un de ces pays, Cerber s'installe, mais ne chiffre pas les fichiers avant le redémarrage du système.

L'exécution initiale de Cerber se déroule après que l'utilisateur soit resté inactif pendant un certain temps et exécute l'économiseur d'écran de Windows. Elle affiche également de fausses alertes système pour obliger l'utilisateur à redémarrer son système. Lorsque le système redémarre, Cerber le force à démarrer d'abord en mode sans échec avec réseau activé. Il force ensuite l'appareil à redémarrer dans le service Windows standard.

Une fois l'appareil redémarré dans le service Windows standard, Cerber lance le processus de chiffrement. Il chiffre 442 types de fichiers différents et recherche les lecteurs partagés non mappés. Cerber utilise des algorithmes de chiffrement AES-256 (symétrique) et RSA (asymétrique). Notez que les versions plus récentes de Cerber ajoutent également une fonction de botnet au processus, faisant du dispositif local un participant aux attaques par déni de service distribué (DDoS).

Après le chiffrement, Cerber stocke trois fichiers sur le périphérique local, nommés “DECRYPT MY FILES”, afin de fournir des instructions pour le paiement. L'un des fichiers contient une bande sonore expliquant que les fichiers de l'utilisateur ont été chiffrés et qu'un paiement doit être effectué pour les récupérer. L'utilisateur reçoit des instructions pour télécharger “Tor” et l'utiliser pour ouvrir le site oignon de l'attaquant où le paiement peut être effectué.

L'attaquant détermine un montant de rançon qui n'est pas trop élevé afin de s'assurer qu'il peut maximiser son succès. La rançon initiale de Cerber était d'environ 500 dollars, et le paiement a été effectué en bitcoins.

Comme pour la plupart des ransomwares, Cerber ransomware commence par un e-mail de phishing. Par exemple, un courriel de phishing peut informer les utilisateurs qu'une facture est jointe et qu'ils doivent ouvrir le fichier pour trouver les instructions de paiement. Si un script WSF est joint, il installe le ransomware Cerber. Si un fichier Microsoft .DOT est joint, l'utilisateur doit d'abord activer les macros pour que le ransomware puisse être téléchargé et installé.

Il est également possible d'installer le ransomware Cerber après avoir téléchargé un logiciel malveillant sur un site Web malveillant, après avoir fait de la publicité malveillante (publicités malveillantes qui renvoient à des téléchargements de logiciels malveillants) ou après avoir exécuté des paquets malveillants contenant divers logiciels malveillants. Toutefois, le principal vecteur d'attaque est le phishing. Comme le malware est distribué sous forme de ransomware-as-a-service, l'adresse de l'expéditeur est variable.

Comme les autres ransomwares, Cerber informe la victime que ses fichiers ont été chiffrés à l'aide d'alertes et de notes. Cerber affiche une alerte sur l'ordinateur de la victime en tant qu'économiseur d'écran pour attirer son attention, puis utilise des fichiers texte stockés pour fournir des instructions.

Certaines versions de Cerber stockent un fichier HTML nommé __$$RECOVERY_README$$__.html sur le disque ou utilisent un fichier texte intitulé “DECRYPT MY FILES” pour alerter les victimes.

Outre les fonds d'écran et les alertes de fichiers, l'extension de fichier “.locked” est un autre signe que votre appareil est affecté. Au lieu d'une feuille de calcul Excel avec l'extension de fichier “.xlsx”, vos fichiers de feuille de calcul auront l'extension de fichier “.locked”. Cerber chiffre plus de 400 types de fichiers, de sorte que tous les fichiers essentiels, y compris les images personnelles, seront chiffrés.

Il est possible de supprimer les fichiers du ransomware Cerber, mais il n'est pas possible de déchiffrer vos fichiers. Cerber utilise les algorithmes cryptographiques AES-256 et RSA, de sorte que le seul moyen de déchiffrer les fichiers est de disposer des clés.

Comme il n'y a aucune garantie que les clés seront fournies après paiement, les experts déconseillent de payer la rançon. Cependant, certaines victimes paient la rançon par désespoir.

Même si les fichiers sont déjà chiffrés, il est important de supprimer immédiatement Cerber pour éviter tout autre chiffrement de fichiers.

Pour supprimer Cerber de votre système :

1. Redémarrez votre ordinateur et choisissez de lancer Windows en mode sans échec avec mise en réseau. Ce mode limite les fonctionnalités de Windows mais permet toujours d'accéder à Internet.
2. Ouvrez votre logiciel antivirus et laissez-le analyser votre ordinateur. Toute application antivirus efficace détectera et supprimera Cerber du système.

Il est impossible de déchiffrer les fichiers après que le ransomware Cerber les a chiffrés. Le seul moyen de décrypter des données après qu'elles ont été chiffrées à l'aide d'algorithmes cryptographiques sécurisés est d'utiliser la clé.

Les auteurs de Cerber ransomware offrent la clé en échange du paiement de la rançon, mais les experts préviennent que le paiement de la rançon ne garantit pas que vous recevrez la clé. Certaines victimes estiment qu'elles n'ont pas d'autre choix que de payer la rançon.

La seule solution pour remédier à une attaque par ransomware est de récupérer les fichiers de sauvegarde. Les particuliers ou les organisations doivent conserver des sauvegardes de leurs fichiers dans un endroit sûr.

Certains ransomwares (dont Cerber) chiffrent les fichiers de sauvegarde. Pour éviter les fichiers de sauvegarde chiffrés, utilisez le stockage en cloud ou un disque amovible inaccessible aux utilisateurs standard.

Comme Cerber commence par un e-mail de phishing, les employés et les particuliers doivent être capables de détecter les signes d'un e-mail malveillant.

Cependant, le principal mode de déclenchement de l'installation du ransomware Cerber est une pièce jointe dans l'e-mail de phishing. Le fichier joint peut être un fichier script WSF ou un document Microsoft Word contenant une macro malveillante. Les deux fichiers se trouvent dans une archive zip pour éviter d'être détectés par les filtres de sécurité des e-mails.

Si l'attaque initiale utilise un document Microsoft Word, l'utilisateur ciblé doit autoriser l'exécution de la macro malveillante. Les versions actuelles de Microsoft Office désactivent l'exécution automatique des macros, sauf si l'utilisateur désactive spécifiquement cette fonction. La fonction de sécurité ne doit pas être désactivée pour éviter d'être victime de l'installation d'un malware à partir d'un document Office.

Les solutions de sécurité des e-mails permettent de bloquer les e-mails de phishing, mais il arrive qu'une attaque sophistiquée contourne les contrôles de sécurité courants. Les utilisateurs doivent éviter d'ouvrir les pièces jointes provenant d'expéditeurs qu'ils ne connaissent pas, et ils ne doivent jamais ouvrir ou exécuter des scripts et des binaires. Évitez d'exécuter des macros, sauf si le document provient d'un expéditeur vérifié et connu.

Les utilisateurs ne doivent pas cliquer sur les liens contenus dans les messages électroniques suspects. Dans certaines campagnes de phishing, un attaquant utilise des comptes de messagerie piratés et envoie des messages malveillants à la liste de contacts du compte piraté. Un bon moyen d'y parvenir est de s'assurer que votre organisation dispose d'un programme efficace de formation à la sensibilisation à la sécurité.

Assurez-vous que le logiciel antivirus s'exécute sur l'appareil lorsque vous cliquez sur des liens, même s'ils proviennent d'un expéditeur connu. Évitez de cliquer sur des liens dans des courriels suspects ou provenant de sources inconnues.

Conservez toujours des sauvegardes fréquentes de vos fichiers en cas d'attaque par un ransomware. Si toutes les mesures de protection échouent, les sauvegardes sont le seul moyen de se remettre d'un ransomware.

Ces sauvegardes doivent être stockées dans un endroit sûr où les ransomwares ne peuvent pas scanner et accéder aux lecteurs mappés ou non mappés. Le stockage en cloud, par exemple, est un emplacement de sauvegarde sûr.

Les logiciels malveillants nécessitent un auteur de code, de sorte que la plupart des attaques requièrent la programmation d'une personne qui comprend comment construire un ransomware.

Cependant, Cerber est vendu en tant que ransomware-as-a-service (RaaS), qui fournit tous les aspects du phishing, de l'installation de logiciels malveillants et des paiements à des personnes qui n'ont aucune compétence de codage. RaaS permet à n'importe qui de devenir un attaquant, ce qui rend Cerber plus populaire que d'autres logiciels malveillants.

Les auteurs de Cerber ont ajouté diverses attaques supplémentaires au ransomware initial. Le malware initial chiffrait les fichiers comme n'importe quel autre ransomware, mais Cerber dispose désormais d'une fonction botnet permettant aux clients RaaS de l'utiliser pour effectuer des attaques DDoS.

Une attaque DDoS efficace nécessite plusieurs appareils infectés, et RaaS fournit aux propriétaires de botnet un moyen pratique d'extorquer de l'argent aux victimes.

Les incidents liés aux ransomwares ont augmenté en 2021 et continuent d'être une méthode d'attaque de plus en plus populaire. Cerber figure parmi les trois principales variantes de ransomware en 2021, avec Ryuk et SamSam.

Les chercheurs ont constaté 52,5 millions d'attaques de Cerber en 2021, dépassées seulement par les 93,9 millions d'instances de Ryuk. Cependant, les chercheurs préviennent que Cerber devient rapidement plus populaire que Ryuk en 2022.

Alors que le ransomware est une attaque mondiale, Cerber ne se déclenche pas pour des pays spécifiques. Même si votre pays figure sur la liste des exclus, vous devez prendre des précautions pour éviter Cerber et d'autres ransomwares. Les versions récentes de Cerber se sont concentrées sur les utilisateurs de Microsoft Office, car elles ont été conçues pour contourner la sécurité d'Office 365.

Les États-Unis et l'Europe sont les deux régions les plus ciblées. La plupart des auteurs de ransomwares ciblent des régions spécifiques et construisent des ransomwares pour contourner la détection et la sécurité des logiciels malveillants.

Cerber cible principalement les particuliers, comme en témoignent les montants plus faibles des rançons. Les ransomwares ciblant les organisations peuvent demander des paiements de rançon de plusieurs milliers, voire de millions.

Sans sécurité pour votre courrier électronique, vous risquez d'être victime d'un ransomware, que ce soit en tant que particulier ou en tant qu'organisation. Si votre entreprise dispose d'un personnel à domicile, tout utilisateur ayant accès à distance à des données expose votre entreprise à un risque d'attaque en raison de l'utilisation d'une sécurité plus faible, de niveau non professionnel, sur un ordinateur personnel.

Pour stopper les attaques, les entreprises peuvent utiliser la protection contre les ransomwares (TAP) de Proofpoint. Il s'agit d'un moyen efficace de se défendre contre le phishing, les e-mails malveillants, les URL qui pointent vers des applications Web contrôlées par des attaquants, les pièces jointes et d'autres menaces basées sur le cloud.

Vous pouvez également consulter notre Ransomware Hub pour en savoir plus sur Cerber et d'autres menaces de sécurité sophistiquées.