Cerber, nuevo ransomware con funcionalidades de DDoS

Una investigación de Invincea informó que un nuevo ransomware Cerber está siendo utilizado para secuestrar archivos y realizar ataques de DDoS. Cerber se propaga través de spam y luego de ser descargado a través de Nuclear Exploit Kit. Nuclear es muy popular y conocido [PDF] por infectar sistemas sin parches software de Java, Acrobat Reader, Adobe Flash Player y Quicktime de Apple.

Desde el 24 de mayo, este ransomware cifra los archivos del usuario y luego solicita un rescate desde 1,24 hasta 2,48 bitcoins (U$S 557-  U$S1.114 ). Fue notable en el uso de una voz generada por computadora en lugar de mostrar la nota de rescate como una imagen de fondo. Los desarrolladores de Cerber han subido sus apuestas en la última versión, agregando un componente de denegación de servicio (DDoS) en el malware. En lugar de simplemente cifrar los archivos y bloquear el equipo, la nueva variante Cerber agrega un bot al sistema para realizar ataques DDoS dirigidos.

Cerber utiliza Windows Script Files (WSF) que llegan por spam y en adjuntos con archivos doblemente  comprimidos. El uso inusual de este tipo de archivos le ha permitido eludir los filtros de spam. Los archivos maliciosos suelen simular facturas, tickets y otros documentos oficiales.

Esta variante de Cerber utiliza documentos de Microsoft Word con un script malicioso en Visual Basic que ejecuta y descarga el malware. Este malware en primer lugar es un ransomware típico que cifra los archivos y muestra una nota de rescate.

En segundo lugar, el binario también podría utilizarse para llevar a cabo un ataque DDoS. El tráfico de red observado parece estar inundando la subred con paquetes UDP en el puerto 6892. A través de la suplantación de la dirección de origen (Spoofing), el anfitrión podría dirigir todo el tráfico de respuesta desde una subred a un host objetivo, haciendo que el anfitrión deje de responder.

Fuente: TrendMicro | Invicea