Cerber ransomware
A Cado Security Labs nemrégiben kapott jelentéseket arról, hogy a Cerber zsarolóvírust a CVE-2023-22518 exploiton keresztül telepítették a Confluence alkalmazást futtató szerverekre. A Windows-változatról nagy mennyiségű információ áll rendelkezésre, a Linux-változatról azonban nagyon kevés. Ebben a blogban a Linux-változat elemzését tárgyaljuk.
A Cerber 2016 körül jelent meg és volt aktivitásának csúcsán, és azóta csak alkalmi kampányokat folytat, legutóbb a fent említett Confluence sebezhetőséget vette célba. A ransomware C++ nyelven programozott alapvető összetevője a károsabb, szintén C++ nyelven írt szoftverek hordozójaként működik. Ezt a kiegészítő szoftvert a támadók által irányított központi szerverről töltik le.
Amint a feladat befejeződött, a fő ransomware komponens eltávolítja magát a rendszerből. Két másik összetevő is érintett: az egyik azt ellenőrzi, hogy a ransomware rendelkezik-e a szükséges engedélyekkel, míg a másik titkosítja a számítógépen lévő fájlokat, és elérhetetlenné teszi őket a váltságdíj kifizetéséig.
A váltságlevélben szereplő állítások ellenére nem történik adatkiszűrés. Bill szerint a tiszta C++ hasznos terhek túlsúlya figyelemre méltó a platformok közötti nyelvekre, például a Golangra és a Rustra való áttérés közepette.