Een nieuwe versie van de Cerber-ransomware versleutelt niet alleen bestanden voor losgeld, de malware probeert ook bitcoinwallets en in de browser opgeslagen wachtwoorden te stelen. Cerber was begin dit jaar volgens onderzoekers nog de populairste ransomware onder cybercriminelen.

Een belangrijke reden hiervoor is dat Cerber als "Ransomware as as Service" wordt aangeboden. Cybercriminelen krijgen toegang tot de ransomware en moeten die zelf verspreiden. Als een slachtoffer betaalt gaat een deel van het geld naar de Cerber-ontwikkelaars. De ontwikkelaars van Cerber blijven de ransomware verder ontwikkelen en hebben in de nieuwste versie nu de mogelijkheid toegevoegd om bitcoinwallets te stelen.

Op een besmet systeem zoekt de ransomware naar wallet.dat, *.wallet en electrum.dat. "De diefstal van deze bestanden wil nog niet zeggen dat de opgeslagen bitcoins gestolen kunnen worden. De aanvaller heeft ook het wachtwoord van de wallets in kwestie nodig", zegt Gilbert Sison, onderzoeker bij Trend Micro. Daarnaast maakt Electrum sinds eind 2013 geen gebruik meer van het electrum.dat-bestand.

Verder probeert de nieuwe Cerber-versie in de browser opgeslagen wachtwoorden te stelen. Het gaat dan om inloggegevens van de gebruiker in Chrome, Firefox en Internet Explorer. De wachtwoorden en bitcoinwallets worden voor het versleutelen van de bestanden verzameld en naar de aanvaller teruggestuurd. Nadat de bitcoinwallets zijn verstuurd zal Cerber die van het systeem van het slachtoffer verwijderen. "Deze nieuwe feature laat zien dat aanvallers nieuwe manieren zoeken om aan ransomware te verdienen", aldus Sison. Net als vorige versies wordt ook de nieuwe Cerber-versie via e-mailbijlagen verspreid.