• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Nueva variante del ransomware Cerber muta cada 15 segundos

    Nueva variante del ransomware Cerber muta cada 15 segundos Cerber se hace polimórfico, emplea técnica «malware factory» Los codificadores de malware detrás del ransomware Cerber están usando una técnica llamada "malware factory" para crear una ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Nueva variante del ransomware Cerber muta cada 15 segundos

      Nueva variante del ransomware Cerber muta cada 15 segundos



      Cerber se hace polimórfico, emplea técnica «malware factory»



      Los codificadores de malware detrás del ransomware Cerber están usando una técnica llamada "malware factory" para crear una versión diferente de su ransomware cada 15 segundos con el fin de eludir el software de seguridad del lado del cliente.


      Cerber es una de las amenazas ransomware más activas al día de hoy, apoyados por un grupo que ha puesto todo su tiempo y los recursos para crecer y evolucionar las operaciones de su carga de software malicioso.

      El ransomware ha cambiado constantemente desde el comienzo del año, cuando fue visto por primera vez, y nadie ha sido capaz de crear un descifrador gratuito hasta ahora.

      Cerber se une al grupo de familias de malware polimórfico

      la firma de seguridad estadounidense Invincea ha informado sobre el cambio más reciente en el modo de operación de Cerber. La compañía dice que mientras que estaba analizando un archivo de registro de las últimas técnicas de infección de Cerber e intentando reproducir la cadena de infección, sus analistas consiguieron una carga útil del ransomware Cerber con un hash de archivo diferente.

      Al volver a intentar la cadena de infección después de unos momentos, los investigadores lograron que obtener una tercera variante, y luego una cuarta, y así sucesivamente. No tardaron mucho en darse cuenta de que los servidores de Cerber C & C estaban produciendo binarios de Cerber con los hashes de archivos diferentes cada 15 segundos.

      Este fue un signo revelador de que utilizaban la técnica "malware factory", una línea de montaje automatizada que pone cargas útiles junto a Cerber pero hace pequeñas modificaciones a la estructura interna del archivo con el fin de generar archivos con valores hash únicos.

      ¿Cerber fue creado en septiembre del 2015?

      Una mirada más profunda a las cargas útiles de Cerber mostraron una conexión a una muestra de archivo sospechoso recogida en septiembre del 2015, después de ser entregado por el kit exploit Neutrino.

      Esto podría ser una de las primeras muestras del ransomware Cerber, mucho antes de que los investigadores lo descubrieran a fines de febrero o principios de marzo .

      "La mutación constante del mismo binario es a partir del 2015 [Cerber] siendo capaz de evadir la detección con bastante facilidad", explicó Patrick Belcher de Invincea, que casualmente es uno de los autores de un trabajo de investigación sobre las técnicas de «fábricas automatizadas de malware» y del malware polimórfico .

      Invincea también dice que previamente descubrio una muestra Cerber que incluía la capacidad de lanzar ataques DDoS .


      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Nueva variante del ransomware Cerber muta cada 15 segundos

      El Ransomware Cerber es en estos momentos el que mayor distribución está teniendo, luego de la extraña casi desaparición del ransomware Locky que corto su distribución desde la pasada semana y no se han vuelto a ver ni nuevas cepas ni servidores activos distribuyendo este.

      Por su parte Cerber está queriendo acaparar todo ese terreno al igual que CryptXXX, algunas nuevas variantes de CryptoLocker y sus hermanos Crypt0L0ker / TorrentLocker, como el ya clásico TeslaCrypt que sigue actualizándose.

      Lo que comenta el artículo del cambio de hash, en realidad es solo un truco de añadir una parte nueva de código al último sector del programa, el cual en realidad no modifica en nada este, solo hace que tenga un nuevo hash y por lo tanto los antivirus que dicen ser de nuevas tecnologías y que trabajan con la nube y bla bla bla (cuando en muchos casos solo detectan por los miles de hashes de su nube ) no logran tener todos disponibles para poder detectarlos y con esto logran su cometido que es saltarse el AV para infectar al usuario.

      Acá les dejo una imagen que compartí en mi twitter el otro día, del nuevo diseño del sitio web que el Ransom Cerber les presenta a sus victimas:




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.