- El ID-21/16 es accesible a todos los usuarios desde el portal del CCN-CERT.
- El documento se ha actualizado tras la aparición de una nueva versión de este código dañino (actualmente se conocen cinco) que llega al equipo de la víctima mediante un downloader, encargado de contactar con un sitio web desde el que se descarga el ransomware para, posteriormente, ejecutarlo dentro de la máquina atacada.
- El CERT Gubernamental Nacional publica este informe con sus reglas YARA e IOCs correspondientes.
El CCN-CERT ha publicado en la parte pública de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-21/16 Ransom.Cerber. Se trata del informe actualizado sobre el ransomware Cerber, uno de los que más incidencia tuvo en el año 2016 (un 3% del total de los que gestionó el CCN-CERT durante el año pasado).
En él se recoge el análisis de la nueva versión aparecida (son ya cinco) que llega al equipo de la la víctima mediante un downloader que es el que se encarga de contactar con un sitio web desde el que descarga el ransomware y posteriormente lo ejecuta dentro de la máquina atacada.
La versión analizada de este código dañino tiene las siguientes características:
- Descarga y ejecuta el fichero binario correspondiente a Cerber mediante un dropper o downloader.
- Descifra y desofusca el código dañino en memoria.
- Lanza un nuevo proceso.
- Lee la configuración que tiene embebida dentro de su mismo código para personalizar las versiones sin necesitar incluir cambios en su código.
- Cifra selectivamente los ficheros utilizando listas blancas y listas negras.
- Cifra de modo offline ya que no utiliza ningún servidor de comando y control (C2) para recibir información de él o para enviar las claves generadas.
- Notifica al usuario el cifrado de sus ficheros mediante imágenes de instrucciones de rescate (fondo de escritorio, imágenes .jpg en los directorios con contenido cifrado, etc.).
- Usa el servicio de sintetizador de voz para reproducir un mensaje.
Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Conexiones de red
- Persistencia en el sistema
- Desinfección
- Prevención
- Archivos relacionados
- Detección
- Información del atacante
Además, se incluyen diversos Anexos con Indicadores de Compromiso (IOC) y una regla Yara.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (06/06/2017)
Acceso al Informe de Código Dañino: CCN-CERT ID-21/16 Ransom.Cerber
