0
Cerber er steget til at blive den mest dominerende familie af ransomware – og nu har det nye tricks.
Billede: Malwarebytes
En af de værste former for ransomware er blevet endnu grovere, at tilføje muligheden for at stjæle Bitcoin tegnebøger og adgangskode for oplysninger fra dig, i tillæg til at kryptere dine filer og kræver en løsesum udbetalt, for at få dem tilbage.
Cerber allerede dominerer ransomware markedet, fordi det ikke kun er dens skabere konstant at opdatere det og tilføje nye features, såsom evnen til at undgå opdagelse ved cybersecurity værktøjer, de sælger, det ‘as-a-service’ til et lavt niveau hackere, der ønsker at gøre en hurtig buck fra ransomware – med forfatterne at tage en del af hver enkelt løsesum betaling.
For at gøre tingene endnu værre, den ransomware bruger meget stærk kryptering, og den altid skiftende natur af Cerber betyder, at der ikke er nogen dekryptering værktøjer til rådighed for de nyeste versioner.
Ikke tilfreds med det udbytte, der opnås ved at afpresse ofre med en familie af ransomware, som tegner sig for 90 procent af markedet på Windows, dem, der står bag Cerber har tilføjet flere strenge til sin bue, med henblik på at høste endnu mere fra ofrene.
Nu er den nyeste inkarnation af Cerber ser ud til at stjæle cryptocurrency og adgangskoder fra ofre, der giver et ekstra middel til profit, på toppen af, hvad der er lavet fra Bitcoin krav om løsepenge mellem $300 og $600.
Metoden for levering er den samme – Cerber stadig angreb offeret via en ondsindet vedhæftet fil i en phishing-e-mail – men nu exploit kit vil se til at udføre andre forbryderiske opgaver, før de går igennem med krypteringen.
Phishing-mail, der forsøger at levere den Cerber nyttelast.
Billede: Trend Micro
Forskere ved Trend Micro beskrive processen med at de angreb som “relativt enkelt” med Cerber rettet mod tre Bitcoin wallet-programmer – for det første-parts Bitcoin Coin tegnebog, og den tredje part Electrum og Multibit tegnebøger.
Der kræves en adgangskode for at få adgang til indholdet af tegnebog, men Cerber har også denne, der er omfattet – det forsøger også at stjæle gemte passwords fra Internet Explorer, Google Chrome og Mozilla Firefox.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
Alle gemte adgangskode for Bitcoin tegnebøger opdaget er sendt til angriberne via en kommando og kontrol-server, som tillader hackere at få adgang til crytocurrency indhold.
For at føje spot til skade, Cerber også ligefrem sletter tegnebog filer, før de går ind på kryptere system og kræver en løsesum i bytte for at gendanne filer.
“Denne nye funktion, der viser, at angriberne er at forsøge sig med nye måder at tjene penge på ransomware. At stjæle Bitcoins af målrettede brugere, ville udgøre en værdifuld kilde til potentielle indkomst”, sagde Trend Micro forskere Gilbert Sison og Janus Agcaoili.
Cerber er ikke den første familie af ransomware til at stjæle data fra ofre – to foregående eksempler er RAA ransomware, der kan inficere ofre med data-stjæle Pony Trojan, malware og Glædelig Jul ransomware, der sammen med information stjæle Diamond Fox malware – men det er bekymrende at se, den mest almindelige form for fil-låsning malware vedtage denne teknik.
Mens Cerber har tilføjet denne nye mulighed til dens nyttelast, e-mail-phishing-angreb metode forbliver den samme, så at uddanne brugere til at være på vagt, når det kommer til mystiske vedhæftede filer eller ubekræftede kilder er stadig en af de bedste måder at undgå infektion.
Mens identiteten af hacking bande bag Cerber er stadig et mysterium, dens fortsatte udvikling og udviklingen af ransomware peger på at det er arbejdet i en meget organiseret drift.
Forskere har tidligere bemærket, at Cerber betyder ikke inficere mål i de tidligere Sovjetiske stater, hvilket tyder på, at det potentielt kunne have en russisk oprindelse.
LÆS MERE OM IT-KRIMINALITET
Ransomware: smart person ‘ s guide [TechRepublic] Efter WannaCry, ransomware vil blive værre, før det bliver betterThis data-stjæle Trojan er den første, også inficere du med ransomwareThe globale ransomware-epidemien er bare med at komme i gang [CNET]Ikke mere ransomware: Hvordan en hjemmeside er at stoppe crypto-låsning skurke i deres spor
0