RaPToR intercetta la nuova variante di Cerber

Cyber Intuition ha indicato la versione aggiornata di Cerber come l’infezione di massa più aggressiva, in grado di ingannare i sistemi che rilevano i comportamenti dei ransomware. Il nuovo aggiornamento consiste nel separare gli stadi differenti del malware in file multipli e li inietta in un processo di esecuzione nascondendoli al sistema di rilevamento.

Attualmente il software RaPToR non si occupa del metodo di infezione e di iniezione dei ransomware, poiché a prescindere dal metodo con cui viene propagato, una volta entrato in azione svolge comunque le attività tipiche dei ransomware e quindi RaPToR è in grado di intercettarlo e bloccarlo.

Come per gli altri ransomware, anche questa versione di Cerber si diffonde via mail, la quale contiene un link che rimanda ad una cartella dropbox in cui sono contenuti 3 files. Attualmente, alcuni sistemi che sono in grado di rilevare i comportamenti dei ransomware avranno delle difficoltà a trovare le varie componenti della nuova configurazione di Cerber. La ragione è che i sistemi di apprendimento automatico (machine learning) guardano il contenuto di un file e ne valutano le componenti per vedere se combaciano con comportamenti maligni, questo comporta che nel caso in cui il contenuto maligno del file è nascosto per istanza tramite crittografia, o è iniettato in tempo reale, il contenuto non sarà valutato come sospetto.

Leave a Reply