Check Point deslindam funcionamento da campanha “Cerber”

Susana Marvão,

A Check Point, fabricante especializado em segurança, publicou um relatório no qual identifica novos detalhes e uma profunda análise ao Cerber, a campanha de ramsomware-as-a-service ativa mais importante do mundo.

A investigação proporciona uma visão sem precedentes dos bastidores desta imponente cibercampanha, explica a empresa, permitindo saber mais sobre o crescimento desta indústria de ransomware-as-a-service e ajudando a desenvolver ferramentas que permitem a utilizadores particulares e empresas recuperar o controlo dos computadores infetados sem ter que pagar qualquer regate.

Neste relatório de 60 páginas, a equipa Threat Intelligence and Research da Check Point, em parceria com a IntSights Cyber Intelligence, expõem-se os pormenores sobre o funcionamento técnico e a operacionalidade do negócio do Cerber, revelando que:

  • O rácio de infeção do Cerber é maior que o de outros ransomwares. Cerber tem atualmete 161 campanhas ativas que geram um lucro anual de aproximadamente 2,3 milhões de dólares. Todos os dias é lançada uma média de oito novas campanhas. Só durante o mês de julho, a investigação revelou a existência de cerca de 100.000 vítimas.
  • Os associados do Cerber são especialistas em lavagem de dinheiro. Cerber utiliza a divisa BitCoin para escapar ao seguimento do dinheiro, e cria uma conta mealheiro de BitCoin única para cada uma das suas vítimas. Uma vez pago o resgate (normalmete 1 BitCoin, que equivale hoje a 590 dólares), o utilizador recebe uma chave para desencriptar os seus ficheiros. A BitCoin é transferida para o hacker através de um serviço misto. Este processo implica dezenas de milhares de contas de BitCoin, o que torna quase impossível rastreá-las de forma individual. Quando acaba este longo processo, o dinheiro chega ao autor do esquema e os seus associados recebem uma margem do negócio.
  • Cerber abre as portas a futuros hackers. Cerber permite a pessoas sem conhecimentos técnicos fazer parte deste lucrativo negócio e criar campanhas independentes. Para isso, facilita-lhes um conjunto de servidores C&C assignados e uma interface de controlo fácil de usar, disponível em 12 idiomas distintos.

Diz o comunicado enviado à imprensa que desde junho de 2016, a Check Point e a IntSight têm vindo a trabalhar no sentido de fazer o mapeamento do complexo sistema desenvolvido pelo Cerber, bem como a sua infraestrutura global de distribuição.

Assim, os investigadores conseguiram monitorizar os servidores C&C da rede do Cerber e inclusive devolver dinheiro a vítimas reais, assim como controlar de forma eficaz os seus pagamentos e transações. Também conseguiram rastrear as receitas e o fluxo monetário genados por este malware.

“Este relatório proporciona uma visão pouco comum acerca da natureza e os objetivos globais da indústria crescente do ransomware-as-a-service”, explica Nathan Shuchami, responsável de prevenção de ameaças avançadas da Check Point.

“Os clientes da Check Point já estão protegidos contra todas as variantes conhecidas do Cerber. Esperamos que os restantes fornecedores e profissionais da segurança tomem as precauções adequadas e instalem as medidas de segurança apropriadas”.