Cerber : tout savoir sur le Ransomware as a Service

Adriana L.
Date publication
November 4, 2022
time to read
9 min
Cerber : tout savoir sur le Ransomware as a Service

Cerber est un rançongiciel (ransomware) proposé sous la forme de service par ses créateurs. Les cybercriminels peuvent payer pour lancer une cyberattaque contre la cible de leur choix, afin de chiffrer ses données et d'exiger une rançon. Découvrez tout ce que vous devez savoir sur ce redoutable malware, et comment vous en protéger avant qu'il ne soit trop tard...

Les ransomwares ou rançongiciels sont l'une des pires menaces de cybersécurité à l'heure actuelle. Ces malwares sont capables de chiffrer toutes les données stockées sur un système informatique, et d'exiger une rançon contre la clé permettant de les déchiffrer.

Ce type de cyberattaque peut paralyser une entreprise pendant de nombreuses heures, et la contraindre à débourser une somme colossale pour récupérer ses données.

Il existe de nombreux ransomwares, mais certaines souches tirent leur épingle du jeu par leur fonctionnement ou par leur dangerosité. L'un des pires rançongiciels porte le nom du chien à trois têtes qui garde les portes de l'enfer dans la mythologie grecque : Cerber, le Ransomware-as-a-Service (RaaS).

Qu'est-ce que Cerber ?

Apparu en 2016, le ransomware Cerber s'inspire du concept de Logiciel en tant que Service (SaaS) : des logiciels proposés sous la forme de services cloud, accessibles via le web sur les plateformes de fournisseurs comme Amazon Web Services, Google Cloud Platform ou Microsoft Azure.

Ce modèle économique est de plus en plus adopté par les éditeurs de logiciels, car il présente de nombreux avantages. Les utilisateurs n'ont plus besoin d'installer les logiciels sur leurs ordinateurs puisqu'il est exécuté sur le serveur du vendeur cloud, et peuvent y accéder depuis n'importe quel appareil connecté à internet.

Le mode SaaS rencontre un franc succès auprès des utilisateurs pour sa simplicité, et les créateurs de Cerber ont voulu appliquer la même recette au monde du cybercrime...

Ainsi, Cerber est un ransomware proposé sous forme de service à d'autres cybercriminels en échange d'un pourcentage des revenus générés par l'attaque.

Comment fonctionne le ransomware Cerber ?

Le fonctionnement de Cerber est similaire à celui des autres ransomwares. Dans un premier temps, la victime installe ce logiciel malveillant sur son appareil par inadvertance. Elle peut être piégée par un email de hameçonnage (phishing), par un site web infecté ou par des publicités malveillantes (malvertising).

En ouvrant une pièce jointe, en visitant un site web ou en cliquant sur une pub, il est possible d'installer accidentellement Cerber sur son ordinateur. À l'origine, le fichier contenant Cerber se présentait sous la forme d'un fichier .DOT : un template Microsoft Word pouvant contenir des macros.

Ce fichier était protégé par un mot de passe, indiqué dans l'email de phishing. Lorsque l'utilisateur entre le mot de passe pour ouvrir le fichier, il active une macro malveillante déployant immédiatement le malware sur la machine.

Une autre version de Cerber prend la forme d'un fichier Windows Script File (WSF). En ouvrant le fichier, l'utilisateur exécute un script enclenchant le téléchargement et l'installation du malware. Dans tous les cas, une fois installé, le rançongiciel commence à chiffrer les fichiers pour empêcher leur ouverture.

Chaque fichier impacté reçoit une nouvelle extension, et restera verrouillé sans la clé de déchiffrement. En outre, comme d'autres souches de ransomwares, Cerber peut aussi accéder aux fichiers sur le réseau.

Les systèmes de chiffrement utilisés par Cerber sont AES-256 et RSA. Les versions les plus récentes du malware ajoutent un botnet au processus, afin d'enrôler l'appareil infecté dans une attaque DDoS.

Lorsque le processus de chiffrement est complet, Cerber affiche une note de rançon sur l'écran pour informer la victime de la situation. Cette note précise aussi les différentes méthodes de paiement acceptées par le hacker.

En général, il est nécessaire de télécharger le navigateur Tor et de payer en Bitcoin. À l'origine, le montant demandé était de 500 dollars. Avec la plupart des variantes de Cerber, la somme à payer augmente au fil du temps pour que la cible se dépêche de payer.

Le malware s'accompagne aussi de notes additionnelles, et notamment un fichier audio adressé à la victime. Ces notes sont déposées sur le bureau de l'ordinateur et à l'intérieur de tous les dossiers chiffrés.

 

Pourquoi Cerber est-il si populaire ?

En 2021, Cerber comptait parmi les trois principaux variants de ransomwares aux côtés de Ryuk et SamSam. Au total, les chercheurs ont observé 52,5 millions d'attaques Cerber sur l'ensemble de l'année. Seul Ryuk l'a surpassé avec 93,9 millions d'attaques identifiées.

Toutefois, les chercheurs estiment déjà que Cerber va dépasser Ryuk en 2022. Les États-Unis et l'Europe sont les régions les plus touchées, et les attaques ciblent aussi bien les individus que les entreprises. Les sommes demandées peuvent atteindre plusieurs millions de dollars.

La popularité de Cerber est liée sa nature de Malware en tant que Service. Il suffit de payer les hackers pour lancer une attaque sur n'importe quelle cible.

Ce modèle le rend exploitable par n'importe quel cybercriminel, y compris ceux qui n'ont aucune compétence technique. Plus besoin de développer et de coder son propre rançongiciel.

De leur côté, les développeurs de Cerber sont libérés de la tâche de planifier et d'exécuter leurs propres attaques. Ils ne sont plus contraints de collecter des informations de contact ni de créer des emails de phishing.

Ils se contentent de proposer leurs cyberattaques sous forme de service, et de collecter les revenus. En quelques mois, Cerber est ainsi devenu l'une des souches de ransomwares les plus actives.

Comment supprimer le ransomware Cerber ?

En cas d'infection par Cerber, il n'est pas très difficile de supprimer le code malveillant. Redémarrez l'ordinateur en mode sans échec avec prise en charge du réseau, afin de limiter le fonctionnement de la machine au strict minimum tout en restant connecté à internet.

Dès que l'ordinateur a démarré, ouvrez votre logiciel antivirus. Lancez la fonctionnalité de scan de malware, et enclenchez la suppression de Cerber.

Supprimer ce malware permet d'empêcher que davantage de fichiers soient encryptés. Malheureusement, cela ne suffira pas à déchiffrer les fichiers déjà affectés et à y restaurer l'accès.

Comment déchiffrer Cerber ?

Si vous n'avez pas effectué de sauvegarde de vos fichiers infectés par Cerber, il est nécessaire de trouver un moyen de les déchiffrer. Même si cela semble tentant, ne payez jamais la rançon demandée.

Rien ne garantit que le hacker acceptera réellement de déverrouiller les fichiers, ni même qu'il en soit capable. Par exemple, la souche de malware Petya utilise un système de chiffrement totalement irréversible.

En outre, en acceptant de payer, vous confirmez aux hackers que cette technique fonctionne. Rien ne les empêche de réitérer, et ceci risque également d'inspirer d'autres criminels.

Malheureusement, contrairement à d'autres ransomwares, il n'existe pas de déchiffreur pour Cerber. La seule solution est de patienter, jusqu'à ce que des chercheurs en cybersécurité parviennent à percer les secrets de l'algorithme de chiffrement de Cerber et développent un outil de déchiffrement. Quoi qu'il advienne, ne supprimez pas vos fichiers chiffrés et conservez-les précieusement.

Comment se protéger d'une cyberattaque Cerber ?

En cybersécurité, comme dans beaucoup d'autres domaines, mieux vaut prévenir que guérir. Lorsqu'un ransomware chiffre les fichiers, il est souvent déjà trop tard pour les récupérer.

Afin de protéger vos données, il convient d'adopter plusieurs pratiques. Tout d'abord, ne téléchargez jamais de pièce jointe en provenance d'expéditeurs inconnus. L'une des méthodes les plus utilisées par les hackers consiste à dissimuler les malwares dans les emails de phishing.

De même, ne cliquez pas sur les liens inconnus. Ils peuvent mener vers des sites web infectés, capables de lancer le téléchargement d'un malware sur votre appareil automatiquement dès que vous les visitez.

Mieux vaut ignorer les publicités affichées sur internet, contenant parfois des malwares cachés pouvant s'installer sur l'appareil quand vous cliquez.

Autre conseil : veillez à mettre à jour vos logiciels pour n'utiliser que les dernières versions. C'est particulièrement important pour le système d'exploitation de l'ordinateur. Les mises à jour de logiciels contiennent souvent des correctifs pour des vulnérabilités pouvant être exploitées par les hackers.

Installez un logiciel antivirus moderne offrant des fonctionnalités anti-ransomware. De nombreux logiciels sont capables de détecter et de bloquer automatiquement tous les types de malwares, y compris les rançongiciels.

La meilleure façon de se prémunir contre une cyberattaque est d'effectuer régulièrement une sauvegarde backup de tous vos fichiers et données. Même si un ransomware les verrouille, vous n'aurez qu'à restaurer la copie sans avoir à payer. En cas de sauvegarde sur un disque dur, déconnectez-le impérativement après la sauvegarde pour éviter qu'il soit aussi infecté par Cerber.

 

Comment suivre une formation de cybersécurité ?

Cerber et les autres souches de ransomwares ne sont pas près de disparaître. Au contraire, de nouvelles variantes de malwares rançongiciels apparaissent sans cesse.

De plus, le modèle RaaS ouvre les portes du cybercrime à n'importe quelle personne malveillante. Il est donc devenu impératif de se protéger contre cette menace, et ceci passe par l'éducation de tous les employés de votre entreprise à la cybersécurité.

Afin d'apprendre aux membres de votre organisation à adopter les bonnes pratiques de cybersécurité, à détecter les tentatives de phishing et à savoir s'en protéger, vous pouvez choisir la Cyber University.

Nous proposons des formations de cybersécurité sur mesure pour les entreprises, afin de répondre à vos besoins avec précision. Le volume horaire et le contenu du cursus s'adaptent au niveau de votre effectif et à votre objectif, de l'upskilling au reskilling.

Notre simulateur de cyberattaque offre un apprentissage par la pratique et la mise en situation, permettant à chacun d'être prêt en cas de cyberattaque réelle. Vous profiterez aussi de l'accompagnement permanent de nos experts en cybersécurité, capables de répondre à toutes vos questions.

En parallèle, Cyber University propose aussi une formation d'analyste en sécurité SOC 2. Si vous souhaitez commencer une carrière dans le domaine en plein essor de la cybersécurité, notre cursus de 365 heures à compléter en Bootcamp ou en Formation Continue peut vous permettre d'acquérir toutes les compétences requises et d'obtenir la certification GIAC Certified Forensic Analyst (GCFA).

Cette formation s'effectue intégralement en ligne, et combine apprentissage asynchrone sur notre plateforme coachée et Masterclass. Notre organisme est éligible au Compte Personnel de Formation pour le financement. N'attendez plus et découvrez la Cyber University !

Vous savez tout sur le ransomware Cerber. Pour plus d'informations sur le même sujet, consultez notre dossier complet sur les malwares ou notre dossier sur les ransomwares.

Dans cet article :

Voir nos formations