암호화 된 랜섬웨어 'CERBER " 의 버전 3.0 이 확인 된 후 1 개월 후 버전 4.0 ("RANSOM_CERBER.DLGE "로 검색)이 출시되었습니다.
"CERBER"을 확산하는 "malvertising (부정 광고)"캠페인 3 건 및 변조 된 Web 사이트의 캠페인 1 건에 대해 추적 조사를 실시했습니다. "CERBER"최신 버전은 보안 연구원 Kafeine 씨의 랜섬웨어 광고에 대한보고도 포함되어 있습니다.
"CERBER 4.0"에 대한 업데이트는 협박장이 HTML 형식에서 HTA 형식으로 변경 한 것이 포함됩니다.또한 "CERBER"의 작성자는 암호화 된 파일의 확장자에 ".cerber3"를 일관되게 사용하는 것을 폐지하고 감염마다 생성 한 임의의 문자열을 파일의 확장자로 이용하고 있습니다. 2016 년 10 월 초부터 급속한 확산이 확인되는 곳에서 "CERBER4.0"에 대한 업데이트는 사이버 범죄자의 주목을 받고있는 것으로 추정됩니다.
광고에는 다음과 같이 기재되어 있습니다.
| Cerber Ransomware 4.0 | Cerber Ransomware 4.0 (번역) |
| - FUD на топовых антивирусах (скантайм / рантайм) | 주요 보안 제품에 의한 검출 100 % 회피 (스캔 타임 및 런타임) |
| - Обход мониторинга активности (массовое изменение, обход ханипотов итд) | 활동 감시의 회피 (일괄 업데이트 허니 팟 회피) |
| - Обход всех известных anti-ransomware программ | 기존의 랜섬웨어 대책 제품의 회피 |
| - Работает 5 крипторов 7 дней в неделю | 5 종의 암호화 기능 연중 무휴 활동 |
| - Обновленный морф | 모핑 기능 업데이트 |
| - Новые инструкции на 13 языках + новый фон | 13 개 국어의 설명서 및 새로운 디자인 |
| - Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет) | 도메인을 통해 블록 체인 동기화 (블록 체인 랜딩 페이지가 정지되어 있어도 문제 없음) |
| - Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования | 암호화 파일의 확장자를 임의의 문자열로 변경 암호화 알고리즘 업데이트 |
| - Новые типы файлов для шифрования | 새로운 형식 파일의 암호화 |
| - Закрытие запущенных процессов всех топовых баз данных | 실행중인 모든 프로세스의 데이터베이스 닫기 |
| - Обновленный JS Loader | JS Loader의 업데이트 |
| - Новые onion домены и многое другое. | 새로운 Onion 도메인 추가 |
■ 인기의 「CERBER 4.0 "
과거에보고 한 바와 같이"CERBER "는 2016 년 3 월에 확인 된 이래 가장 널리 확산되고있다 악명 랜섬웨어의 하나입니다. 많은 기능을 갖춘 "CERBER"는 아주 초기 버전에서조차도 "서비스로서의 랜섬웨어 (Ransomware as a Service, RaaS)"로 언더 그라운드 시장에서 거래 되어왔다. 신속한 업데이트도 익스플로잇 키트에 확산시키는 악성 프로그램으로 많은 사이버 범죄자에 "CERBER"이 선호되는 이유가되었습니다. 이것은 새로운 취약점을 노려 랜섬웨어를 계속 이용하는 익스플로잇 키트에 대한 당사의 조사결과에서 밝혀입니다.
"CERBER 4.0"을 즐겨 이용하는 캠페인에 "Pseudo Darkleech"가 있습니다. 끊임없이 변화하는 특징을 가진이 캠페인 은 일반적으로 변조 된 Web 사이트를 이용하여 랜섬웨어를 확산하고 있습니다. 이전에는"CrypMIC '과'CryptXXX ' 을 확산하고있었습니다 만, 폐사 연구자는이 캠페인이 2016 년 10 월 1 일에"CERBER4.0 "의 확산으로 갈아 타는 것을 확인하고 있습니다.
그림 1 :이 버전의 "Pseudo Darkleech"는 변조 된 사이트에 직접 "Rig Exploit Kit (Rig EK)"링크를 삽입
그림 2 : 다른 버전의 'Pseudo Darkleech "는 사용자를 리디렉션 서버로 유도하고 거기에서 Rig EK에 유도하는
"Pseudo Darkleech"보다 이전에 확인 된 다른 2 개의 악성 광고 캠페인도 "CERBER 4.0"를 이용하고 있습니다. "Magnitude Exploit Kit (Magnitude EK) '을 이용하고있는 캠페인은 이미 오래"CERBER'을 확산하고 있습니다. Magnitude EK는 10 월 3 일에 업데이트됩니다, 대만, 한국, 홍콩, 싱가포르, 중국을 중심으로 한 아시아 지역에서 계속해서 "CERBER4.0 '을 확산하고 있습니다.
다른 캠페인은 카지노를 가장 부정 광고를 많이합니다. 이 캠페인은 이전 많은 나라에서 ' Andromeda'나 'Betabot (트렌드 마이크로는 Neurevt 로 감지)'을 확산하고있었습니다. 10 월 4 일 당사 연구자는 캠페인이 확산되는 악성 프로그램이 "CERBER 4.0"로 변경된 것을 확인했습니다. 이것은 "CERBER 4.0 '의 확산을 당사가 확인한 첫 번째 예였습니다. 그리고이 캠페인은 Rig EK를 이용하고있었습니다 만, Rig EK도 과거에 "CERBER '을 확산 하고 있었다 수 있습니다.
그림 3 : Rig EK 불법 광고 캠페인에서 "CERBER 4.0 '이 확산되는
그림 4 : 카지노를 테마로 한 가짜 광고
■ 현재도 활동하는 'Nuetrino EK ","CERBER 4.0'을 확산
2016 년 9 월 8 일 당사가 확인한 새로운 악성 광고 캠페인은 당시 "CERBER 3.0 '을 확산하고 있었지만, 10 월 3 일 "CERBER 4.0"로 변경하고 미국, 독일, 스페인, 대만 및 한국에서 확산되었습니다. "CERBER 4.0 '을 확산하는 캠페인에는 Nuetrino EK가 이용되고 있었지만, 흥미롭게도, 작성자 멤버가 Nuetrino EK의 제공을 중단했다고 발표했습니다. 보안 연구자의 Kafeine 씨는 9 월 9 일에 Neutrino EK 작성자 측에서 "제공은 종료 새로 렌탈 서비스도하지 않으며 기간의 연장도하지 않는다 '는 메시지를보고 하고 있습니다. Neutrino EK의 후퇴라고 생각이들 이유는 Nuetrino EK 작성자 멤버가 사이버 보안 업체의 눈을 두려워 것으로 추측되고 있습니다. 또 다른 설은 대규모 확산 활동을 다루는 VIP 고객 만에 익스플로잇 키트를 제공하는 민간 경영 방침에 변경했다는 견해입니다.
그림 5 : Neutrino EK을 이용하는 악성 광고 "CERBER"를 확산
'malware ' 카테고리의 다른 글
| CVE-2016-0189 플래쉬 취약점 악용 (0) | 2016.10.28 |
|---|---|
| 파밍악성코드 화면 바뀜 (0) | 2016.10.20 |
| 이젠 vmware 가장 악성코드 (0) | 2016.10.18 |
| 안성시 소재 대학 파밍 악성코드 (0) | 2016.10.16 |
| 악성앱 유포 주의! (0) | 2016.10.13 |
