Ransomware Cerber termasuk salah satu ransomware berbahaya yang sudah turun temurun seperti Locky atau TeslaCrypt yang pernah ditaklukan oleh ESET beberapa waktu yang lalu. Dan belum lama ini Cerber sudah mencapai versi 6, dan pada edisi terbaru ini mereka telah menambahkan fitur baru sehingga menambah kompleksitas ransomware ini.
Pertama kali terdeteksi pada akhir Maret, versi 6 Cerber hadir dengan metode berbagai fitur baru, rutinitas enkripsi yang direvisi dan fitur anti sandbox dan anti AV. Fitur ini ditambahkan beberapa bulan setelah Cerber 4 dan Cerber 5 hadir dengan beberapa perbaikan, menunjukkan bahwa ransomware ini masih terus berkembang, kemungkinan besar disebabkan kekuatan finasial pengembang yang sukses mendapat jarahan dari versi sebelumnya. Apalagi setelah aksi Locky yang timbul tenggelam meninggalkan banyak tempat untuk Cerber beraksi.
Metode Distribusi
Pada dasarnya metode distribusi ransomware Cerber masih sama seperti versi sebelumnya yang melakukan operasi penyebaran email spam besar-besaran untuk mendapatkan korban sebanyak-banyaknya. Selain dari itu, mereka juga mengkombinasikannya dengan eksploit kit dan manual instalasi untuk semakin memperbesar peluang keberhasilan.
Sebagian besar email spam menggunakan trik sklasik seperti dengan ZIP, JavaScript, dan Powershell, para peneliti keamanan juga melihat bahwa operator Cerber bereksperimen dengan tipe attachment lainnya. Yang paling lazim dari trik eksperimental ini adalah melalui arsip self-extracting (file SFX), yang ketika di-unzip atau dibongkar langsung menjalankan sekumpulan file VBS dan DLL untuk memulai rantai serangan yang cukup rumit.
Metode infeksi yang lebih sederhana juga terlihat ketika beberapa operator Cerber meniru beberapa hal dari Locky dan mulai mendistribusikan file aplikasi HTML (HTA) dan bahkan file binary (BIN) untuk menginfeksi korban. Namun, yang membuat berbeda adalah pada peningkatan serangan yang semakin masif sejak bulan Maret karena pengembang ransomware ini menjual akses cerber di portal Ransomware as a Service (RaaS) milik mereka.
RaaS Cerber versi 6 dan botnet Necurs adalah salah satu faktor utama mengapa Cerber menjadi varian paling populer di dunia bawah tanah, membuatnya semakin berbahaya karena siapa pun bisa mengoperasikannya kapan saja dan di mana saja tanpa ada batasan, semua di bawah kendali para pengembang Cerber yang mengontrol peredaran.
Evolusi untuk Bertahan Hidup
Menjalankan operasi ransomware yang paling sukses di pasaran juga tidaklah mudah, karena source code dan infrastruktur ransomware yang biasanya digunakan untuk pengiriman ransomware akan selalu berada dalam intaian dan pengawasan dari para penelitu keamanan.
Dan untuk menghindari hal tersebut dibaca oleh para peneliti, pengembang ransomware profesional pasti akan melakukan perubahan dan modifikasi, pengembangan yang terus menerus setiap beberapa bulan, hal yang sama juga dipraktekkan oleh CryptoLocker, TeslaCrypt, Locky dan sekarang dilakukan oleh Cerber.
Perubahan besar yang terjadi dalam Cerber versi 6 adalah rutinitas enkripsi baru yang sekarang menggunnakan Microsoft Cryptografic Application Programming Interface (CryptoAPI) yang punya kesamaan dengan ransomware Spora.
Fitur baru lain yang ditemukan pada edisi terbaru ransomware Cerber versi 6 adalah hadirnya anti-VM dan anti sandboxing untuk mendeteksi kapan periset keamanan atau software keamanan mencoba mengidentifikasi infeksi Cerber. Fitur baru ini datang bersamaan dengan diperkenalkannya fitur Time Delay sebelum menjalankan payload ransomware Cerber sebenarnya sehingga membuat infeksi terdeteksi jauh lebih sulit.
versi sebelumnya yang muncul di akhir Februari Cerber sudah mulai menghindari mengenkripsi file milik programm antivirus. Sedangkan dengan versi 6, Cerber memblokir eksekusi file exe milik software keamanan melalui peraturan firewall Windows.
Dominasi Cerber
Semua fitur baru ini menunjukkan bahwa awak Cerber mendorong pengembangan ransomware ke tingkat berikutnya. Meskipun keluarga ransomware lain terus meningkat dalam jumlah, tetapi fakta di lapangan berbicara bahwa sebagian besar produk ransomware yang muncul dan beredar tidak lebih hanya sekedar produk sampah, kebanyakan berbasis pada open source code berkualitas rendah.
Di sisi lain, Cerber menggunakan fitur berteknologi tinggi dan juga telah mendominasi pasar distribusi ransomware di seluruh dunia, menjadikannya sebagai ransomware paling berbahaya di pasaran saat ini, terlepas dari berapa banyak varian ransomware baru yang ditemukan di dunia digital, Cerber telah mengambil alih distribusi ransomware dunia, menempatkannya sebagai ransomware berbahaya dan paling masif.
Sumber berita:
https://www.bleepingcomputer.com
