Cos'è il Ransomware Cerber?

Il ransomware Cerber è stato scoperto per la prima volta nel Marzo 2016. Data la sua natura di malware RaaS (ransomware-as-a-service), ha la peculiarità di poter essere distribuito da chiunque senza bisogno di alcuna capacità di hacking o programmazione. I guadagni frutto dell'estorsione alle vittime del ransomware vengono divisi tra il cliente che fa uso del RaaS e chi ha sviluppato il malware. Il ransomware crittografa i file con algoritmi a prova di decifratura, costringendo la vittima a pagare un riscatto per riottenere l'accesso ai propri file.

L'attacco del ransomware Cerber inizia con un'e-mail di phishing. In base alla versione del malware, l'e-mail può contenere un file WSF (Windows Script File) oppure un file .DOT, compresso e protetto da password, contenente una macro dannosa utilizzata per installare il malware sul dispositivo locale.

Nella versione .DOT di Cerber, la password per accedere al file .DOT è inclusa nell'e-mail di phishing. Un file .DOT altro non è che un template di Microsoft Word che può contenere macro. Quando l'utente apre il file e inserisce la password, appare un messaggio di avviso “Abilita Contenuto” nella parte alta della schermata. Cliccando sul pulsante, l'utente abilita l'esecuzione della macro dannosa sul proprio dispositivo.

Nella versione WSF di Cerber, l'utente è indotto ad eseguire lo script. Se cade nella trappola e apre il file, lo script viene lanciato, scaricando e installando il ransomware sul dispositivo della vittima. L'e-mail di phishing include anche un collegamento “annulla iscrizione” che farà però partire il download di un file compresso contenente lo script WSF.

Dopo l'installazione del malware, per prima cosa Cerber rileva il paese di appartenenza del dispositivo locale. Nel caso dei seguenti paesi: Armenia, Azerbaigian, Bielorussia, Georgia, Kirghizistan, Kazakistan, Moldavia, Russia, Turkmenistan, Tagikistan, Ucraina, Uzbekistan, il ransomware cessa automaticamente la sua attività e termina. Se invece il paese del dispositivo non è tra questi paesi, Cerber si auto-installerà, ma senza crittografare i file fino al riavvio del sistema.

Esecuzione di Cerber

La prima esecuzione di Cerber avviene dopo che l'utente rimane inattivo per un certo periodo di tempo, facendo partire lo screensaver di Windows. Mostra inoltre falsi avvisi di sistema per spingere l'utente a riavviare il proprio computer. Al riavvio del sistema, Cerber fa partire la modalità provvisoria con la rete abilitata. Quindi forza il riavvio del dispositivo nella modalità Windows standard.

Al riavvio di Windows, Cerber fa partire il processo di crittografia con potenti algoritmi AES-256 (simmetrico) e RSA (asimmetrico), cifrando 442 diversi tipi di file, cercando allo stesso tempo eventuali unità di rete condivise non mappate. Le versioni più recenti di Cerber offrono inoltre funzionalità botnet, per sfruttare il dispositivo locale come zombie negli attacchi DDoS (Distributed Denial-of-Service).

Dopo aver crittografato i dati, Cerber archivia tre file sul dispositivo locale denominati “DECRYPT MY FILES” (decifra i miei file) con le istruzioni per il pagamento del riscatto. Uno dei file è un audio che spiega alla vittima che i propri dati sono stati crittografati e dovrà procedere al pagamento se desidera rientrarne in possesso. Vengono fornite istruzioni per scaricare il browser “Tor” e su come utilizzarlo per collegarsi al sito onion dei criminali da cui è possibile effettuare il pagamento.

I cybercriminali fissano un riscatto non troppo elevato, per assicurarsi che la vittima decida di pagare. Il riscatto chiesto agli inizi di Cerber era di circa 500 dollari e il pagamento da effettuare in Bitcoin.

Come quasi tutti i ransomware, anche Cerber viene distribuito con un'iniziale e-mail di phishing. Ad esempio, l'utente può ricevere un'e-mail con allegata una fattura da aprire per trovare le istruzioni di pagamento. Se è allegato uno script WSF, il ransomware Cerber viene subito installato sul dispositivo. Se invece è allegato un file Microsoft .DOT, l'utente dovrà prima abilitare le macro affinché il malware possa scaricarsi e installarsi sul sistema.

È possibile anche che l'installazione del ransomware Cerber avvenga dopo aver scaricato inavvertitamente malware da un sito malevolo come nelle campagne malvertising (pubblicità malevole che scaricano in realtà malware sui dispositivi delle vittime), o eseguito pacchetti dannosi contenenti malware. Tuttavia, il principale vettore di attacco rimane il phishing. Dato che il malware è distribuito come ransomware-as-a-service, l'indirizzo del mittente è variabile a seconda dei casi.

Come avviene per gli altri ransomware, anche Cerber informa la vittima, attraverso messaggi di avviso e note, che i suoi file sono stati crittografati. In genere, per catturare l'attenzione dell'utente, Cerber mostra un avviso sul suo computer come salvaschermo, e lascia dei file di testo con le istruzioni per il pagamento del riscatto. Alcune versioni di Cerber salvano sul dispositivo infetto un file HTML chiamato __$$RECOVERY_README$$__.html oppure un file di testo chiamato “DECRYPT MY FILES” per allertare le vittime.

A parte screensaver e file di testo, un altro segno che il tuo dispositivo è stato colpito dal ransomware è trovare i file rinominati con l'estensione “.locked”. Ad esempio, i file Excel che normalmente appaiono con l'estensione “.xlsx”, avranno invece l'estensione “.locked”. Cerber è in grado di crittografare oltre 400 tipi di file, quindi tutti i file importanti, comprese le immagini personali, saranno crittografati.

È possibile rimuovere il ransomware dal proprio dispositivo, ma purtroppo non è possibile decifrare i file. Cerber utilizza potenti algoritmi di crittografia AES-256 e RSA, perciò l'unico modo per decriptare i file è tramite le chiavi corrette. Tuttavia, anche pagando il riscatto, non vi è alcuna garanzia che i cybercriminali forniscano effettivamente le chiavi di decifratura, perciò gli esperti sconsigliano sempre di scendere a patti con i criminali e raccomandano di non effettuare alcun pagamento. Nonostante ciò, sono numerose le vittime che pagano il riscatto nella speranza di recuperare i propri dati.

Anche se i file sono già stati crittografati, è importante rimuovere immediatamente il ransomware per impedire che possa continuare a crittografare ulteriori file. Per rimuovere Cerber dal tuo dispositivo:

1. Riavvia il computer in modalità provvisoria con rete. Questa modalità limita le funzionalità di Windows ma permette comunque l'accesso a Internet.
2. Lancia l'antivirus e fai una scansione completa del tuo computer. Qualsiasi buon antivirus sarà in grado di rilevare e rimuovere Cerber dal tuo sistema.

Una volta che i file vengono crittografati dal ransomware Cerber è impossibile decifrarli. L'unico modo è utilizzare la chiave che viene offerta alla vittima in cambio del pagamento del riscatto. Ma nonostante non vi sia alcuna garanzia di ricevere la chiave anche dopo aver effettuato il pagamento, e nonostante gli esperti sconsiglino questa via, alcuni cedono al ricatto perché sentono di non avere altra scelta.

L'unica soluzione per porre rimedio a un attacco ransomware è ripristinare i file di backup. Utenti, organizzazioni, enti, nessuno è al sicuro dai ransomware. Vanno perciò effettuati periodici backup dei propri file, conservandoli in un luogo sicuro. Va tenuto a mente però che alcuni ransomware, incluso Cerber, arrivano a crittografare anche i file di backup. Si raccomanda quindi di utilizzare l'archiviazione cloud per i propri backup, o un'unità rimovibile inaccessibile ai normali utenti.

Poiché tutto ha inizio con un'e-mail di phishing, è fondamentale che gli utenti sappiano riconoscere i segnali di un'e-mail malevola. L'installazione del ransomware Cerber avviene tramite l'apertura di un file allegato all'e-mail di phishing, che può essere un file di script WSF o un documento di Microsoft Word con una macro dannosa al suo interno. Entrambi i file si trovano in un archivio compresso per evitare il rilevamento da parte dei filtri di sicurezza del client di posta elettronica.

Se l'attacco utilizza un documento di Microsoft Word, l'utente preso di mira dovrà dare il consenso all'esecuzione della macro. Le attuali versioni di Microsoft Office disattivano di default l'esecuzione automatica delle macro, a meno che l'utente non disabiliti specificamente questa funzione. Data la sua criticità, si raccomanda perciò di non disattivare mai questa funzione di sicurezza, per evitare l'installazione di malware da documenti Office.

I sistemi di protezione delle e-mail aiutano a bloccare le e-mail di phishing, ma in caso di attacco particolarmente sofisticato, i comuni controlli di sicurezza non sono sufficienti. Un ruolo fondamentale nel prevenire le infezioni ransomware, lo gioca l'attenzione da parte dell'utente quando riceve un'e-mail. Non bisogna mai aprire allegati da mittenti che non si conoscono, così come non vanno mai eseguiti script e file binari. A meno che il documento non provenga da un mittente conosciuto e verificato, bisogna prestare la massima attenzione anche nell'abilitare le macro quando si apre un documento.

Il ruolo della consapevolezza sulla sicurezza informatica

Valgono inoltre le solite raccomandazioni, come quella di non cliccare mai su link presenti all'interno di email sospette. In alcune campagne phishing, i cybercriminali si servono di account email compromessi per inviare messaggi malevoli all'elenco dei contatti delle vittime. Sono molti a cadere in simili trappole, ingannati in questo caso dal fatto che il messaggio proviene da un mittente conosciuto. Motivo in più per predisporre un efficace programma di formazione per la consapevolezza sulla sicurezza informatica.

Quando clicchi sui link, assicurati che l'antivirus sia in esecuzione sul tuo dispositivo, anche se l'e-mail proviene da un mittente noto. Evita di aprire link presenti all'interno di e-mail sospette o provenienti da mittenti sconosciuti.

Effettuare frequenti backup dei tuoi file, ti permetterà di ripristinare i dati in caso di attacco ransomware. Quando le altre misure di sicurezza falliscono, avere a disposizione dei backup aggiornati rappresenta l'unica arma contro gli effetti nefasti del ransomware. I backup vanno però archiviati in un luogo sicuro, al riparo dalle scansioni dei ransomware. Il cloud ad esempio, è considerato un metodo di archiviazione sicuro per i backup.

Progettare un malware è un lavoro complesso che richiede notevoli capacità informatiche. La natura ransomware-as-a-service (RaaS) di Cerber invece, lo ha reso più popolare di altri malware, data la semplicità di utilizzo di una suite completa di tutti gli strumenti per l'attacco, dalla creazione delle email di phishing, all'installazione del malware, fino alla gestione dei pagamenti dei riscatti.

I creatori di Cerber hanno reso sempre più completo il loro ransomware, arricchendo man mano di funzionalità aggiuntive la versione iniziale. Se agli inizi, Cerber si limitava a crittografare i file come qualsiasi altro ransomware, attualmente esso dispone addirittura di funzionalità botnet che consente ai propri clienti di eseguire attacchi DDoS. Un DDoS efficace richiede una moltitudine di dispositivi infetti, e allo stesso tempo, chi dispone di botnet ha a disposizione un modo conveniente per estorcere denaro alle vittime.

L'incidenza degli incidenti ransomware è cresciuta nel 2021 e il trend nell'utilizzo dei ransomware non sembra destinato a diminuire. Cerber figurava tra le prime tre varianti di ransomware nel 2021, insieme a Ryuk e SamSam. I ricercatori hanno registrato 52,5 milioni di attacchi da ransomware Cerber nel 2021, superati solo dai 93,9 milioni di casi legati a Ryuk. Tuttavia, Cerber è diventato addirittura più popolare di Ryuk nel 2022.

Mentre generalmente il ransomware colpisce su scala globale, Cerber non si attiva per alcuni paesi specifici. Anche se avessi la fortuna di trovare il tuo paese nell'elenco degli esclusi, dovresti comunque prendere precauzioni per evitare Cerber e qualsiasi altro ransomware. Le versioni recenti di Cerber prendono di mira gli utenti di Microsoft Office, poiché è stato creato apposta per aggirare la sicurezza di Office 365.

Gli Stati Uniti e l'Europa sono le regioni più colpite. La maggior parte di coloro che creano i ransomware prende di mira paesi specifici creando ransomware in grado di aggirare la sicurezza e il rilevamento del malware. Cerber prende di mira principalmente i normali utenti, come dimostrato dagli esigui importi richiesti per i riscatti, laddove vengono richiesti invece pagamenti di migliaia o addirittura milioni di dollari quando sono le aziende ad essere prese di mira.

Senza sistemi di sicurezza a protezione della posta elettronica, rischi di diventare vittima di ransomware, come singolo utente o come organizzazione. Se all'interno della tua azienda hai personale che lavora in smart-working, sai perfettamente che i sistemi di difesa delle reti domestiche non hanno la protezione dell'infrastruttura aziendale, perciò qualsiasi utente con accesso remoto ai dati può mettere a rischio la tua organizzazione.

Lo strumento Targeted Attack Protection (TAP) di Proofpoint permette alle aziende di bloccare gli attacchi, difendersi da phishing, e-mail malevole, URL che puntano ad applicazioni controllate dai cybercriminali, allegati e altre minacce basate sul cloud. Puoi anche consultare il nostro centro anti-ransomware per saperne di più su Cerber e altre sofisticate minacce alla sicurezza.