生まれ変わったCerberランサムウェア

ほぼこもセキュリティニュース By Terilogy Worx

2016年から2019年頃に猛威を振るったランサムウェアのひとつに、Cerberランサムウェアというものがありました。
当時活動が多く観測され、被害が広がりましたが、やがてあまり観測されない状態となりました。
そんなCerberランサムウェアがまた観測されるようになっています。

といっても、どうやら中身は別物のようです。
使用している暗号化ライブラリが異なりますし、以前の活動の際にはWindowsがターゲットだった実装になっていましたが、今回観測されている実装ではWindowsに加えてLinuxもターゲットになっています。
このことから、名前はCerberとなっていますが、実装としては別の新しい実装だと考えられます。
しかし、名前や使用している身代金メモやTor支払いサイトなどが再利用されているようです。

こんな感じです。

  • ランサムウェアである
    確認されている事例では、身代金金額は1000ドルから3000ドルです。
  • ターゲットとなるOSは、WindowsとLinuxである
  • ターゲットとなるシステムは、ConfluenceサーバーとGitLabサーバーである
    どちらも共同開発を実施する際に選択される開発環境といえるものです。
    また、どちらも利用者が利用環境にインストールして利用することのできるものですので、利用者の責任でメンテナンスすることが必要なものだといえます。
  • 悪用するのは、脆弱性
    Atlassian ConfluenceとGitLabのリモートコード実行の脆弱性を悪用します。
    これらの脆弱性は認証なしで悪用される可能性のあるものです。
    両方の脆弱性が概念実証(PoC)のエクスプロイトが公開されているので、悪用するのも簡単だったと思われます。
    Confluence:CVE-2021-26084
    GitLab:CVE-2021-22205
  • 観測されている国が多い
    世界の多くの地域で活動が観測されています。
    特に多い国は、米国、ドイツ、中国です。

この脅威に備えるには、悪用されている脆弱性に対応できる更新を適用しておく、ということになります。
しかし、それだけでは十分ではありません。
脆弱性は前述のものだけではありませんし、次から次へと見つかっていきます。
利用しているシステムを安全な状態となるように継続的にメンテナンスしていくことが必要でしょう。

参考記事(外部リンク):New Cerber ransomware targets Confluence and GitLab
servers

www.bleepingcomputer.com/news/security/new-cerber-ransomware-targets-confluence-and-gitlab-servers/