Már augusztusban erről cikkeztek a szaklapok, de igazából most kezd látszani a következmény. A Cerber ransomware, azaz zsaroló program írói ugyanis olyan ökoszisztémát alakított ki, hogy az bármely online szolgáltatás dicséretére válna. Az ötlet sem új, már tavaly is cikkeztek arról, hogy megjelentek a zsaroló vírusokat szolgáltatásként kínáló kiberbűnözők.

A Cerber azonban a módszert tökélyre fejlesztette.

Folyamatosan fejlesztik

Az, hogy a Cerber köré fejlesztői komplett szolgáltatást építettek, önmagában nem újdonság – a Fortinet statisztikái szerint már az év első felében is dobogós volt a legelterjedtebb zsarolók között, de a vele kapcsolatos támadások mostanra nagyon felpörögtek. Kitalálói folyamatosan fejlesztik. Mint a Biztonságportál összefoglalójában olvasható, a hónap elején jelent meg a program 4. főverziója. És hogy pörögjön az üzlet, fejlesztői rengeteg erőforrást nyomnak a terjesztésébe.

A fertőzés módja persze nem változott: a károkozó fájlokat titkosít, a titkosítás feloldásáért pedig váltságdíjat kér a megtámadott rendszer tulajdonosától. Az előző variánsaihoz képest annyit azonban újítottak rajta, hogy most már a titkosított állományokat véletlenszerű kiterjesztésekkel látja el. (A korábbi verziók egységesen a .cerber, .cerber2, illetve .cerber3 kiterjeszt használták.)

Zsaroló program szolgáltatásként

A Cerber fejlesztői is felfedezték maguknak a XaaS modellt, azaz a vírust úgynevezett RaaS (Ransomware as a Service) szolgáltatásként lényegében bárki használhatja. Nem kell sem fejlesztői, sőt végső soron semmilyen informatikai ismeret (persze az alap digitális írástudáson kívül) ahhoz, hogy valaki használhassa – erre a fejlesztők reklámjaikban (!) fel is hívják a figyelmet. A készítők reklámjai szerint a Cerber legújabb variánsát nem ismerik fel a víruskeresők, és átmegy minden védelmi vonalon.

Van hozzá 13 nyelven használati útmutató, a készítők biztosítanak minden szükséges háttérrendszert és technikai támogatást. És persze a sötét neten már hónapok óta folyik egy intenzív reklámkampány is – még bannereket is futtanak –, amely nagy hasznot ígér a szolgáltatást igénybe vevőknek. A Cerber fejlesztői szerint a megtámadott gépek tulajdonosainak 3 százaléka hajlandó is fizetni. A Check Point szerint azonban ez túlzás, bár nyilván a felhasználótípusok szerint elég nagy szórást mutat a fizetési hajlandóság. A biztonsági cég szerint a inkább 0,3 százalék lehet azok aránya, akik fizetnek. A többiek inkább veszni hagyják adataikat, és legyalulják a gépüket.

Akkor is jól lehet vele keresni

A RaaS szolgáltatások üzleti modellje rendszerint bevételmegosztáson alapul. A zsarolásból bejövő pénz jelentős részét maga a támadó – a RaaS szolgáltatást igénybe vevő – teszi zsebre, a szolgáltatás üzemeltetői pedig jellemzően 5-10 százalékos részt kérnek minden váltságdíjból. Ez annak függvényében, hogy a Cerberrel kapcsolatban 500-1000 dollár körüli összegeket szoktak kérni váltságdíjként, tényleg szép jövedelem lényegében kockázat nélkül.

A Trend Micro szerint 4.0-s Cerber terjedése az utóbbi időben nagyon agresszívvá vált. Ez főleg annak köszönhető, hogy a legújabb variánst már a RIG, a Neutrino és a Magnitude nevű exploit kit is segíti. Ezek az exploitok különféle sebezhetőségek kihasználásával úgy próbálják terjeszteni a kártevőt, hogy annak településéhez a lehető legkevesebb felhasználói közreműködés kelljen. Ráadásul malvertising kampányokon keresztül is terjed.

A program egyébként több hónapja aktív, már nyáron is arról írtak a biztonsági cégek, hogy több százezer dollárt kasszírozhattak a bűnözők a Cerber segítségével. A Check Point csak idén júliusban közel 150 ezer fertőzött windowsos rendszert regisztrált.

Oroszok lehetnek mögötte

Bár közvetlen bizonyíték nincs, a kutatók többsége arra gyanakszik, hogy a program mögött orosz kiberbűnözők állhatnak. A Cerber ugyanis előszeretettel fertőz meg gépeket az USA-ban, Dél-Koreában és Tajvanon, de például a Szovjetunió volt országaiban alig. Azerbajdzsánban, Fehéroroszországban, Grúziában, Kazahsztánban, Kirgizisztánban, Moldovában, Oroszországban, Örményországban, Tádzsikisztánban, Türkmenisztánban, Ukrajnában vagy Üzbegisztánban nem észlelték a fertőzés nyomait. A kutatók találtak is olyan utasítást a programban, amely vizsgálja a rendszer nyelvi beállítását, és ha az orosz, akkor nem fut le.

Sajnos bejött az, amit a Fortinet kutatói nyáron jósoltak: a Cerbernek nagyon beindult a karrierje. Gyorsan fejlődik a kódja és a mögötte álló infrastruktúra is. Mivel kódja rendszeresen változik, detektálni is nehéz. Emellett már korábban is úgy írták meg, hogy ki lehessen játszani vele a szignatúrákra épülő, például a fájlokból képzett hash értékek alapján működő védelmeket.