Cerber Ransomware stiehlt nun auch aus Bitcoin Wallets

Originalbeitrag von Gilbert Sison und Janus Agcaoili

Die Cerber-Ransomware ist dafür bekannt, die sich am schnellsten weiter entwickelnde Erpresserfamilie zu sein. Anfang Mai hatte die Schadsoftware bereits fünf Versionen mit Änderungen an ihren Routinen durchlaufen. Nur ein paar Monate später scheint Cerber sich wieder verändert zu haben, denn es ist nun Kryptowährungs-Diebstahl in die Routinen aufgenommen worden zusätzlich zu den „normalen“ Erpresserroutinen – Profit aus zwei Quellen.

Einige Dinge haben dennoch nicht geändert: Der Schädling wird immer noch per Mail im Anhang ausgeliefert.


Bild 1. Cerber-Lieferung

Der JavaScript-Anhang (JS_NEMUCOD.SMGF2B) führt zum Download der Cerber-Variante (RANSOM_HPCERBER.SMALY5A). Der einzige Unterschied zum Mai ist, dass Cerber nun auch Bitcoin Wallets im Visier hat. Dafür zielt die Schadsoftware auf Wallet-Dateien dreier Bitcoin Wallet-Applikationen (Bitcoin Core Wallet und die Drittanbieter-Wallets Electrum und Multibit). Die folgenden Dateien im Zusammenhang mit den entsprechenden Anwendungen werden gestohlen:

  • wallet.dat (Bitcoin)
  • *.wallet (Multibit)
  • electrum.dat (Electrum)

Doch der Diebstahl dieser Dateien garantiert nicht, dass die gespeicherten Bitcoins auch gestohlen werden können. Der Angreifer benötigt das Passwort, das die Wallet schützt. Außerdem nutzt Electrum seit 2013 nicht mehr die electrum.dat-Datei.

Weitere Informationen, auf die die neue Cerber-Variante aus ist, sind Passwörter vom Internet Explorer, Google Chrome und Mozilla Firefox. Dieser Diebstahl findet statt, bevor eine Verschlüsselung durchgeführt wird. Alle geklauten Passwörter und gefundenen Wallet-Informationen werden über Command-and-Control Server an den Angreifer übermittelt. Danach löscht der Schädling die Wallet-Dateien, sodass den Opfern noch mehr Schaden entsteht.

Lösungen und Best Practices

Da der Eintrittspunkt von Cerber sich nicht geändert hat, funktionieren auch die bekannten Best Practices noch. Das Training von Mitarbeitern, Anhänge in Mails aus externen oder nicht verifizierten Quellen nicht zu öffnen, kann das Risiko mindern. Systemadmins sollten Mail-Policies aufstellen, die solche Anhänge nicht durchlassen.

Trend Micro Smart Protection Suites und Trend Micro Worry-FreeTM Business Security Advanced erkennen und stoppen verdächtiges Verhalten und Exploits im Zusammenhang mit Ransomware auf den Endpunkten.

Trend Micro Deep Discovery Inspector enthält eine Mail-Inspektionsschicht, die Unternehmen schützen kann, indem sie bösartige Anhänge und URLs erkennt.

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware.

Indicators of Compromise

  • 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27 – detected as RANSOM_HPCERBER.SMALY5A

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*