Malware utiliza anúncios de jogos online para viralizar infecção e diminui prazo para pagamento de resgate.
O Cerber se tornou uma das famílias mais notórias e populares de ransomware em 2016 e utilizou uma ampla variedade de táticas, incluindo a potencialização de plataformas em nuvem e Windows Scripting, além de adicionar o comportamento do tipo não-ransomware, tal como ataques de negação de serviço distribuído.
Segundo a Trend Micro, uma razão para essa popularidade se deve ao fato de que o Cerber é frequentemente comprado e vendido como serviço (ransomware-as-a-service ou RAAS). A última versão do Cerber, conta com funções semelhante às variantes anteriores, como o uso de mecanismo de voz é entregue também pelos exploit kits Magnitude e Rig.
O que difere é que na versão Cerber 3.0, os usuários são redirecionados para os servidores destes exploit kits por meio de anúncios que aparecem em uma janela pop-up, depois que os alvos clicam em um vídeo para jogar.
Dois exemplares de ransomware estão entre as cinco maiores ameaças do País
O último passo leva ao download do Cerber. Apesar desta campanha de malvertisements já ter afetado vários países, o ataque está fortemente concentrado em Taiwan. E mesmo que o ransomware esteja sendo executado há meses, somente agora o Cerber 3.0 foi lançado como payload.
No caso do exploit Magnitude, foi utilizado um redirecionamento simples de script. O Rig, por outro lado, abriu um site no plano de fundo que continha uma imagem de sites legítimos para compra de roupas nos EUA, fazendo com que o anúncio parecesse menos suspeito.

