새로운 Cerber 랜섬웨어 4.0 버전, 온라인에서 판매되고 멀버타이징 방식으로 배포돼

새로운 Cerber 랜섬웨어 4.0 버전, 온라인에서 판매되고 멀버타이징 방식으로 배포돼

New Cerber Ransomware v4.0 Sold Online and Deployed via Malvertising Campaigns

최근 버전 4.0으로 업데이트된 Cerber 랜섬웨어가 사이버 범죄 언더그라운드 포럼에서 판매되고 있는 것으로 나타났습니다.

Locky와 CryptXXX와 같이, Cerber는 현재 가장 활동적인 랜섬웨어 위협 중 하나입니다. 이는 랜섬웨어의 서명을 변경하고, 보안 소프트웨어의 탐지를 우회하기 위한 운영 모드 변경을 위해 지속적으로 업데이트되고 있습니다.

Cerber, 지난 3개월 동안 주요 업데이트 내려받는 것으로 나타나

2016년 초 공개된 Cerber는 버전 1.0을 유지하며, 작은 업데이트만을 진행해왔습니다. 그러나 지난 8월부터 매월 메이저 업데이트를 내놓기 시작했습니다.

사이버 범죄자들은 8월 초 Cerber 2.0을 공개하고, 뒤이어 9월 초에 Cerber 3.0을 공개했습니다. 그리고 가장 최근, 새로운 Cerber 4.0을 내놓았습니다. 보안 연구원 Kafeine에 따르면, 그들은 Cerber 4.0을 대여가 가능한 RaaS(서비스형 랜섬웨어) 플랫폼으로 판매하고 있는 것으로 밝혀졌습니다.

Cerber 4.0 RaaS 서비스 형태로 온라인에서 구입 가능

Kefeine은 그의 감시망에서 새로운 Cerber 버전이 발견된 것과 동일한 날짜인 지난 10월 1일, 특정 광고를 발견했다고 밝혔습니다. 러시아어로 씌여진 이 광고를 통해, Cerber 4.0에 어떤 기능이 추가되었는지 알 수 있습니다.

Trend Micro에 따르면, Cerber 4.0은 이미 유포되어 사용자를 감염시키기 시작했습니다. 이는 최소 3개의 주요 멀버타이징 공격 방식을 통해 배포되고 있습니다.

첫 번째 멀버타이징 캠페인은 Magnitude 익스플로잇 키트에서 비롯되었습니다. Magnitude가 Cerber 4.0을 제일 먼저 배포했다는 것은 전혀 놀랄만한 일이 아닙니다. Magnitude 갱은 Cerber의 얼리 어댑터 중 하나로, Cerber가 처음 출시되었을 때부터 다른 랜섬웨어는 배포하지 않고 Cerber만 배포해 왔습니다.

두 번째 멀버타이징 캠페인은 PseudoDarkleech입니다. 그들은 Cerber 4.0을 배포하기 이전에 CrypMIC와 CryptXXX 랜섬웨어 패밀리를 몇 달간 배포했습니다. 기존에 Neutrino 익스플로잇 키트를 사용하던 이 그룹은 현재 RIG 익스플로잇 키트를 사용하고 있습니다.

한편, Neutrino 키트는 아예 사라진 것이 아니라, Magnitude와 같이 은밀히 운영되고 있는 것으로 예상되고 있습니다. Trend Micro에 따르면, Neutrino는 규모가 더욱 작은 멀버타이징 공격 그룹의 배후에 있으며, 이 역시 Cerber 4.0을 배포하고 있는 것으로 보입니다.

출처 :

http://news.softpedia.com/news/new-cerber-ransomware-v4-0-sold-online-and-deployed-via-malvertising-campaigns-509234.shtml