Cerber, un ramsomware que muta cada 15 segundos

Cerber es uno de las ramsomware de moda, por así decirlo. Es muy activo, ya que ha sido creado por un grupo bastante bueno de hackers, que parece que están poniendo todo el empeño del mundo en potenciarlo cada vez más.

Desde que fue visto por primera vez, a principios de año, nadie ha sido capaz de descifrar todo su código y compartirlo adecuadamente. Y parece ser que ya saben el motivo por el que Cerber es tan escurridizo. Resulta que la empresa de seguridad estadounidense Invincea, al analizar un archivo de registro para intentar conocer las técnicas de infección de Cerber, estos consiguieron una carga útil del ramsomware con un hasg de archivo diferente. Algo no cuadraba por lo que repitieron la prueba una segunda y una tercera vez y el resultado volvió a ser diferente en todos los casos.

Cerber muta cada 15 segundos

Al poco se dieron cuenta de que el resultado cambiaría todas las veces ya que los servidores producían binarios de Cerber con los hashes de archivos diferentes cada 15 segundos. De esta manera, Cerber pasó a formar parte del grupo de familias de malware polimórfico. Para ello utilizan una técnica llamada ‘malware factory’, que como su nombre indica es una línea de montaje que hace pequeñas modificaciones a la estructura interna del archivo con el fin de generar valores de hashs únicos cada vez.

De esta manera, Cerber es capaz de evadir la detección de los antivirus con bastante facilidad sin que esto afecte en lo más mínimo a su funcionamiento. Lo asombroso del tema es que es capaz de hacerlo cada 15 segundos, por lo que es bastante complicado que cualquier antivirus pueda seguir su ritmo a no ser que puedan descifrar el método de cambio y así adelantarse a las mutaciones.

Obviamente, esto no es misión imposible, pero sí que es una traba más para los antivirus a la hora de detectar intrusos no deseados en nuestro ordenador.

¿Qué os parece esta nueva técnica de malware?