Neue Variante der Cerber-Ransomware plündert Bitcoin-Geldbörsen

Sie stiehlt Dateien von drei verschiedenen Bitcoin-Anwendungen. Zudem hat Cerber es nun auf die in den Browsern Internet Explorer, Chrome und Firefox gespeicherten Passwörter der Bitcoin-Geldbörsen abgesehen. Erst danach beginnt die Ransomware mit der Verschlüsselung von Dateien.

Trend Micro warnt vor einer neuen Variante der Ransomware Cerber. Sie begnügt sich nicht mehr nur damit, Dateien zu verschlüsseln und für deren Freigabe ein Lösegeld zu erpressen. Die Hintermänner sind nun auch hinter den Bitcoin-Geldbörsen ihrer Opfer her.

Ransomware (Bild: Shutterstock / Carlos Amarillo)Die Verteilung von Cerber erfolgt weiterhin als schädlicher Dateianhang von unerwünschten E-Mails. Die angehängte JavaScript-Datei lädt, wenn sie ausgeführt wird, die aktuelle Cerber-Variante herunter. Bevor sie mit der Verschlüsselung von Dateien beginnt, sucht sie auf einem infizierten Rechner jedoch Dateien, die zu drei Bitcoin-Apps gehören: Bitcoin Core sowie Electrum und Multibit.

Die Dateien „wallet.dat“ (Bitcoin Core), „*.wallet“ (Multibit) und „electrum.dat“ (Electrum) überträgt Cerber an einem Befehlsserver im Internet. Da der Diebstahl dieser Dateien alleine nicht ausreichend für einen Zugriff auf eine Bitcoin-Geldbörse ist, haben es die Hacker auch auf die benötigten Nutzernamen und Passwörter abgesehen. Sie hoffen die Hacker in den Browsern Internet Explorer, Google Chrome oder Mozilla Firefox zu finden. Darüber hinaus löscht Cerber die Wallet-Dateien, sobald sie an die eigenen Server übergeben wurden.

„Die neue Funktion zeigt, dass die Angreifer neue Möglichkeiten für die Monetisierung von Ransomware testen“, heißt es im Blog von Trend Micro. „Der Diebstahl der Bitcoins von angegriffenen Nutzern wäre eine Quelle für mögliche Umsätze.“

Umfrage

War Ihr Unternehmen in den vergangenen Monaten von einer Ransomware-Attacke betroffen?

Ergebnisse anzeigen

Loading ... Loading ...

Trend Micro weist zudem darauf hin, dass zumindest die Angriffe auf die Electrum-Geldbörsen wenig Erfolg zeigen sollten. Die App verwende den Dateinamen „electrum.dat“ schon seit 2013 nicht mehr.

Cerber ist mindestens seit Anfang 2016 im Umlauf. Zu dem Zeitpunkt war es die erste „sprechende“ Ransomware. Sie stellte ihre Lösegeldforderung per Sprachausgabe, statt ein Bild einzublenden. Anfänglich wurde Cerber noch über Malvertising-Kampagnen verbreitet. Das damals geforderte Lösegeld von 1,24 Bitcoin entspricht heute fast 3000 Euro – im März 2016 waren es noch rund 523 Dollar.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Bitcoin, Malware, Ransomware, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Variante der Cerber-Ransomware plündert Bitcoin-Geldbörsen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *