トレンドマイクロは、被害者のビットコインウォレットを盗むことを目的としたCerberランサムウェアの新たな亜種を発見しました。少なくとも、強力なパスワードで保護されている限り、攻撃者は必ずしもこれらのウォレットを空にすることはできません。
トレンドマイクロによると、Cerberの違いは標的にある。以前のバージョンのランサムウェアは、身代金として情報を暗号化し、身代金として支払わせる仕組みだった。身代金はビットコインで支払われることが多かったが、これは主に他の支払い方法よりも追跡が困難だったためだ。今回の新バージョンは、Bitcoin Core、Multibit、そしてElectrumの旧バージョンで使用されているウォレットファイルを盗むことで、仲介者を排除している。それだけではない。トレンドマイクロは次のように述べている。
この新しいCerber亜種が盗む情報はこれだけではありません。Internet Explorer、Google Chrome、Mozilla Firefoxに保存されているパスワードも盗もうとします。ただし、この情報窃取は暗号化が行われる前に行われる点に注意してください。保存されたパスワードと見つかったビットコインウォレットの情報は、コマンド&コントロールサーバーを介して攻撃者に送信されます。また、ウォレットファイルはサーバーに送信されると削除されるため、被害者の被害はさらに深刻化します。
Cerberは依然として標的のデバイス上の情報も暗号化しているため、運営者は依然としてそのデータを人質として確保することが可能です。しかし、現在ではビットコインウォレットのパスワードさえ分かれば、ウォレットを直接空にすることも可能です。人々がパスワードを何度も使い回したり、少なくとも決まった「パターン」に固執したりする傾向があることを考えると、Internet Explorer、Chrome、Firefoxに保存されているパスワードを入手できれば、この作業はより容易になる可能性があります。
この新しいバージョンのCerberは絶好のタイミングで登場しました。ビットコインなどの暗号通貨への関心が高まっており、グラフィックカードが高騰している理由もそこにあります。そのため、新規参入者はウォレットを適切に保護できていない可能性があります。また、Cerberは他のランサムウェア(少なくとも「ランサムウェア」)キャンペーンの影響を受けており、この脅威を取り巻く恐怖、不確実性、疑念が、人々をより身代金支払いへと駆り立てる可能性があります。
これらはすべて悪いニュースです。良いニュースは、Cerberは以前と同じ方法で拡散するため、疑わしいメールの添付ファイルをダウンロードしないようにすれば、被害に遭う可能性は低いということです。また、ブラウザに組み込まれたパスワード機能ではなく、固有のパスワードを使用する、パスワードマネージャーを使用するなどのベストプラクティスに従うことで、たとえファイルが盗まれたとしても、ビットコインウォレットが空にされることを防ぐことができます。
