En atteignant des records (plus de 2360 euros pour 1 Bitcoin), la monnaie virtuelle Bitcoin suscite l’intérêt des cybercriminels qui adaptent leur arsenal en conséquence. C’est le cas du ransomware Cerber, un des plus anciens mais aussi un des plus virulent malwares chiffreurs. Sa particularité réside dans son évolutivité au gré des desiderata des pirates. Récemment, il recherchait activement les bases de données des entreprises, plus rémunératrices que le blocage traditionnel des fichiers des particuliers. Cerber a été également adapté pour échapper aux solutions de sécurité se basant sur l’intelligence artificielle.
La dernière mise à jour de Cerber le transforme en voleur de données. Il peut dérober des mots de passe contenus dans les navigateurs web. Mais ce qui l’intéresse par-dessus tout, ce sont les informations concernant les portefeuilles Bitcoin. Deux chercheurs de Trend Micro, Gilbert Sison et Janus Agcaoili, ont découvert que le ransomware regarde si les PC infectés comprennent une des trois applications Bitcoin suivantes : Bitcoin Core, Multibit et Electrum. L’objectif est de trouver et de voler les fichiers : wallet.dat (utilisés par Bitcoin Core), .wallet (Multibit) et electrum.dat (Electrum). Ces fichiers contiennent des informations sur le portefeuille de Bitcoin de l’utilisateur.
Mais les chercheurs constatent que ces données ne sont pas forcément utiles. En effet, les éditeurs d’applications n’intègrent pas forcément de données sensibles, comme les mots de passe, au sein de ces fichiers portefeuille. Par exemple, Electrum ne stocke plus aucune donnée liée au portefeuille dans le fichier electrum.dat depuis 2013. Les deux experts de Trend Micro pensent que la mise à jour de Cerber est un moyen de tester différentes options pour mieux monétiser le ransomware.
A lire aussi :
Ransomwares : les entreprises françaises touchées, se distinguent
Ransomwares : 38 % des victimes paient leur rançon
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).