El ransomware Cerber muta cada 15 segundos para evitar las herramientas de seguridad

Share this…

El malware evoluciona y podría decirse que casi más deprisa que las herramientas de seguridad. Expertos del sector han descubierto que el ransomware Cerber es capaz de mutar su código cada 15 segundos para evitar que los software antivirus que estén instalados en el equipo pueda detectar la amenaza.

No es una novedad en lo que se refiere a amenaza, ya que esta se ha distribuido en el pasado. Lo que sí que es verdad es que desde hace unos días se ha mostrado muy activa y se está distribuyendo sobre todo haciendo uso de correos electrónicos. Pero esto no es lo verdaderamente destacable, sino que el su código es capaz de mutar cada 15 segundos para evitar que las herramientas de seguridad existentes en el equipo sean capaz de detectar su actividad.

Conocidos también como virus polimórficos, no es la única vez que hemos hablado de una práctica como esta. Se trata de algo frecuente desde hace varios meses y los ciberdelincuentes utilizan esta técnica para complicar la labor de los software antivirus, siendo en muchos casos imposible de detectar la amenaza, o al menos no se consigue antes de que ya se haya producido el daño, en este caso el cifrado de los archivos almacenados en el equipo.

Pero todo lo que tiene de sofisticado lo tiene de imperfecto, ya que la amenaza necesita de una conexión a Internet para que esto suceda. Esto quiere decir que si detectamos que nuestro equipo está infectado bastaría con desconectar el equipo para que el ransomware no pueda mutar a una nueva versión que se genera en el servidor remoto.

worker-opens-phishing_lg

Cerber apareció en septiembre de 2015

Para encontrar los inicios de esta amenaza es necesario remontarse al mes de septiembre del pasado año, teniendo muy poca presencia en un principio, aunque en oleadas posteriores sí que es verdad que logró alcanzar mejores resultados, aunque no a la altura de otros ransomware.

En esta ocasión, parece el ataque más potente de todos, centrando la difusión de la amenaza en correos electrónicos spam y confiando su funcionamiento en el servidor remoto.

Una vez en el equipo, la amenaza se ayuda de la línea de comandos para poner en funcionamiento cada nueva versión y eliminar la anterior para no dejar rastro en el equipo y que pueda convertirse en pistas para las herramientas de seguridad.

Fuente:https://www.redeszone.net/