Expertos en seguridad de la firma CheckPoint descubrieron dos variantes diferentes de la nueva Cerber 5.0 ransomware
Es la tercera versión del malware que se conoce esta semana que es capaz de cifrar archivos en todas las partes de la red de acceso. El Cerber ransomware fue visto por primera vez en marzo, desde entonces, ha evolucionado rápidamente. En junio, el proveedor de seguridad de la nube Avanan descubierto una serie de variantes de Cerber ransomware que se orientaban a usuarios de office 365 con spam o correos electrónicos de phishing que aprovechan los archivos adjuntos maliciosos.Cerber 2.0 fue descubierto en agosto cuando fue ofrecido en el submundo del crimen a través del modelo-as-a-service ransomware.
El Cerber 4.0 apareció en la red, en octubre, los mismos expertos han visto que mata los procesos relacionados con bases de datos comunes como los de los servidores SQL de MySQL, Oracle y Microsoft para cifrar archivos.
El Cerber 4.0 apareció entregando por varios paquetes de exploits, incluyendo RIG, Neutrino, y Magnitud EKS.
El Cerber 4.0 se está volviendo muy popular en el ecosistema penal donde todavía se utiliza para alimentar varias campalas de Malvertising.
¿Y que hay en la versión 5.0 del Cerber Ransomware?
La última, la variante Cerber 5.0, incluiye un archivo .vbs con un VBScript que implementa un canal de comunicación entre las víctimas y los delincuentes.
Expertos de seguridad de CheckPoint observaron una rápida secuencia de versiones de ser liberado en internet. En menos de 24 horas después del lanzamiento de la versión 4.1.6, ladrones distribuyen el Cerber 5.0 y la 5.0.1.
"El 23 de noviembre, 2016 una nueva versión de Cerber fue puesto en libertad (4.1.6); Sin embargo no hay cambios importantes fueron notables en ella. 24 horas más tarde, Cerber 5.0 fue lanzado.
El Ceber 5.0 aprovecha los nuevos rangos de IP para el comando y control (C & C) de comunicación, sólo uno de ellos fue explotado en la versión 4.1.6. Los mensajes maliciosos difusión múltiple de código a todas las direcciones IP a través de UDP.
Cerber se distribuye actualmente a través de campañas de correo electrónico de spam y explotar los kits, en su mayoría Rig-V Exploit Kit. El malware utiliza y genera aleatoriamente extensiones para el archivo cifrado (4 letras del alfabeto al azar).
Cerber informa a las víctimas de la versión del ransomware que han sido codificadas, a través de una nota de rescate en el escritorio. Los nuevos rangos de IP son los siguientes: 194.165.17.0/24, 194.165.18.0/24, 194.165.19.0/24, 15.93.12.0/27, 63.55.11.0/27
