0
Cerber har vuxit till att bli den mest dominerande familj av ransomware – och nu har det nya trick.
Bild: Malwarebytes
En av de värsta typer av ransomware har blivit ännu elakare, lägga till möjligheten att stjäla Bitcoin plånböcker och lösenord information från dig förutom att kryptera dina filer och kräver en lösensumma betalning för att få dem tillbaka.
Cerber redan dominerar ransomware marknaden eftersom det inte bara är dess skapare och att ständigt uppdatera den och lägga till nya funktioner, till exempel möjligheten att undgå upptäckt av it-verktyg, de säljer det som-en-tjänst ” till låg-nivå hackare som vill göra en snabb buck från ransomware – med författare som tar en andel av varje enskild lösen och betalning.
För att göra saker och ting ännu värre, den ransomware använder mycket stark kryptering och den ständigt föränderliga natur Cerber innebär att det inte finns några dekryptering verktyg som finns tillgängliga för de senaste versionerna.
Nöjer man sig inte med de vinster som görs genom att utpressa offer med en familj av ransomware som står för 90 procent av marknaden på Windows, de som står bakom Cerber ha lagt till fler strängar på sin båge för att skörda ännu fler offer.
Nu den senaste inkarnationen av Cerber ser ut att stjäla cryptocurrency och lösenord från offer, som ger en extra medel för vinst på toppen av vad som är gjort från Bitcoin kräver lösen mellan $300 och $600.
Leveranssätt är den samma – Cerber fortfarande attacker offer via en skadlig bifogad fil i ett nätfiske-e-post – men nu exploit kit kommer att se ut för att utföra andra illvilliga aktiviteter innan du går igenom den här processen.
Phishing e-post försök att leverera Cerber nyttolast.
Bild: Trend Micro
Forskare på Trend Micro beskriva processen av attacken som “relativt enkelt” med Cerber inriktade på tre Bitcoin plånbok program – det första part Bitcoin Mynt plånbok och tredje part Electrum och Multibit plånböcker.
Det krävs ett lösenord för att få tillgång till innehållet i plånboken, men Cerber har också detta omfattas – det är också ett försök att stjäla sparade lösenord från Internet Explorer, Google Chrome och Mozilla Firefox.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
Alla sparade lösenord för Bitcoin plånböcker upptäcks skickas till angriparna via ett kommando och kontroll server, vilket gör att hackare att få tillgång till crytocurrency innehåll.
För att lägga till förolämpning mot skada, Cerber också direkt tar bort plånboken filer innan du går på kryptera system och kräver en lösen i utbyte för att skicka tillbaka filer.
“Den här nya funktionen, som visar att angriparna är att prova nya sätt att tjäna pengar på ransomware. Att stjäla Bitcoins av riktade användare skulle utgöra en värdefull källa av potentiella intäkter”, sade Trend Micro forskare Gilbert Sison och Janus Agcaoili.
Cerber är inte den första familjen av ransomware för att stjäla data från offer – två föregående exempel är RAA ransomware smitta offer med data för att stjäla Ponny Trojan malware och God Jul ransomware att levereras med information stjäla Diamanten Fox malware – men det är oroande att se att den vanligaste formen av fil-låsning malware införa denna teknik.
Medan Cerber har lagt till denna nya förmåga att dess nyttolast, e-phishing-attack metoden är densamma, så utbilda användare att vara vaksamma när det gäller att mystiska bilagor eller ej verifierade källor är fortfarande ett av de bästa sätten att undvika infektion.
Medan identitet hacka gänget bakom Cerber förblir ett mysterium, dess fortsatta utveckling och utveckling av ransomware pekar på att det är ett verk av en mycket organiserad verksamhet.
Forskare har tidigare noterat att Cerber inte infektera mål i före detta Sovjetiska staterna, vilket tyder på att det skulle kunna ha en rysk härkomst.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware: smart person ‘ s guide [TechRepublic] Efter WannaCry, ransomware kommer att bli värre innan det blir betterThis data-Trojanen är de första att också infektera du med ransomwareThe globala ransomware epidemin är bara att komma igång [MAG]Ingen mer ransomware: Hur en hemsida är att stoppa crypto-låsning skurkar i deras spår
0