Una nueva cepa de ransomware, que se hace llamar Cerber, ha sido detectada atacando servidores Confluence y GitLab sin parches utilizando vulnerabilidades de ejecución remota de código.
Según los informes de Tencent Security y MalwareHunterTeam, los ataques comenzaron en la primera quincena de noviembre y afectaron a cientos de servidores, con sistemas Windows y Linux encriptados.
Cerber es el nombre de una operación de ransomware, que ha estado desaparecida desde 2019. Sin embargo, los investigadores dicen que la nueva cepa de ransomware no coincide con el código de la familia anterior, ya que la nueva variante utiliza la biblioteca Crypto +++, mientras que el Cerber original usaba bibliotecas CryptoAPI de Windows y no tenía una variante de Linux. Esto sugiere que los ataques detectados recientemente no son el trabajo de la operación original de ransomware Cerber, sino que un nuevo actor de amenazas hizo uso del nombre, la nota de rescate y el sitio de pago Tor.
La nueva versión de Cerber está creando notas de rescate llamadas __$$RECOVERY_README$$__.html y agregando la extensión .locked a los archivos cifrados. La pandilla de ransomware Cerber está pidiendo 0.04 bitcoin para un descifrador, con la suma duplicándose en cinco días.
Según Tencent Security,los atacantes están explotando la falla CVE-2021-26084 (Confluence) y CVE-2021-22205 (GitLab) para obtener acceso a servidores vulnerables.
CVE-2021-26084 es una vulnerabilidad de inyección de código, que permite a un atacante remoto ejecutar código arbitrario en el sistema, mientras que CVE-2021-22205 es un error de inyección de comandos del sistema operativo que permite a un hacker remoto ejecutar comandos arbitrarios del sistema operativo. Vale la pena señalar que ambos errores han divulgado públicamente exploits de prueba de concepto (PoC).
El informe de Tencent muestra que la mayoría de las víctimas de Cerbers se encuentran en China, Alemania y Estados Unidos.
