Cerber Ransomware เวอร์ชัน 6 ต่อให้มี Antivirus หรือ Sandboxing ก็ตรวจจับไม่ได้

นักวิจัยด้านความมั่นคงปลอดภัยหลายท่านออกมาเปิดเผยถึงการค้นพบ Cerber Ransomware เวอร์ชันใหม่ ซึ่งเป็นเวอร์ชันที่ 6 ตั้งแต่ช่วงปลายเดือนมีนาคมที่ผ่านมา โดยระบุว่าแฮ็คเกอร์ได้ต่อยอดพัฒนามัลแวร์และเพิ่มฟีเจอร์ใหม่หลายรายการ ไม่ว่าจะเป็นการเปลี่ยนวิธีการเข้ารหัส การเพิ่มระบบป้องกัน Anti-AV และ Anti-sandboxing เพื่อหลีกเลี่ยงการตรวจจับ เป็นต้น

Cerber Ransomware เวอร์ชัน 6 นี้ยังคงใช้วิธีการแพร่กระจายตัวผ่านแคมเปญอีเมลสแปมเป็นหลัก โดยเริ่มจากไฟล์ ZIP ปกติ จากนั้นสั่งรัน JavaScript แล้วใช้ PowerShell ในการลอบส่งมัลแวร์เข้ามาติดตั้ง อย่างไรก็ตาม ช่วงหลังเริ่มพบว่า Cerber แฝงตัวมากับไฟล์แนบอีเมลรูปแบบอื่นด้วยเช่นกัน และเริ่มมีการลอบส่งมัลแวร์เข้ามาผ่านทางการ Exploit ช่องโหว่

ล่าสุดเมื่อเดือนมีนาคมที่ผ่านมา Cerber Ransomware เริ่มให้บริการแบบ Ransomware-as-a-Service ผ่านทาง Dark Web และมีการพัฒนาตัวเองเป็นเวอร์ชัน 6 โดยมีการเพิ่มฟีเจอร์ใหม่เข้าไป ดังนี้

• เปลี่ยนวิธีการเข้ารหัสข้อมูลแบบใหม่ โดยใช้ Cryptographic Application Programming Interface (CryptoAPI) ของ Microsoft แทน
• เพิ่มคุณสมบัติ Anti-VM และ Anti-sandboxing เพื่อตรวจจับว่าระบบรักษาคความมั่นคงปลอดภัยของเหยื่อพยายามระบุการติด Cerber Ransomware หรือไม่
• เพิ่มการหน่วงเวลาก่อนที่จะเริ่มการทำงานของ Payload เพื่อให้ตรวจจับได้ยากขึ้น
• เพิ่มคุณสมบัติ Anti-AV โดยเลี่ยงการเข้ารหัสไฟล์ข้อมูลของโปรแกรม Antivirus และบล็อกการรันไฟล์ EXE ของซอฟต์แวร์รักษาความมั่นคงปลอดภัยโดยใช้ Windows Firewall Rules

ตารางด้านล่างแสดงข้อมูลเปรียบเทียบ Cerber Ransomware ในแต่ละเวอร์ชันจนถึงปัจจุบัน

จะเห็นว่า Cerber Ransomware ถูกพัฒนามาไกลมาก และกลายเป็นหนึ่งใน Ransomware ที่มีความแยบยล (Sophisticated) มากที่สุดในปัจจุบัน ซึ่งจนถึงตอนนี้ ยังไม่มี Decrypter สำหรับปลดรหัสไฟล์ข้อมูลที่ถูก Cerber Ransomware เวอร์ชัน 6 โจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/cerber-ransomware-version-6-gets-anti-vm-and-anti-sandboxing-features/