Le ransomware Cerber cible les portefeuilles Bitcoin

Jacques Cheminat,

Une mise à jour du célèbre ransomware Cerber vole des informations sensibles sur les PC. Il s’intéresse en particulier aux portefeuilles de Bitcoin.

En atteignant des records (plus de 2360 euros pour 1 Bitcoin), la monnaie virtuelle Bitcoin suscite l’intérêt des cybercriminels qui adaptent leur arsenal en conséquence. C’est le cas du ransomware Cerber, un des plus anciens mais aussi un des plus virulent malwares chiffreurs. Sa particularité réside dans son évolutivité au gré des desiderata  des pirates. Récemment, il recherchait activement les bases de données des entreprises, plus rémunératrices que le blocage traditionnel des fichiers des particuliers. Cerber a été également adapté pour échapper aux solutions de sécurité se basant sur l’intelligence artificielle.

Vol de portefeuilles

La dernière mise à jour de Cerber le transforme en voleur de données. Il peut dérober des mots de passe contenus dans les navigateurs web. Mais ce qui l’intéresse par-dessus tout, ce sont les informations concernant les portefeuilles Bitcoin. Deux chercheurs de Trend Micro, Gilbert Sison et Janus Agcaoili, ont découvert que le ransomware regarde si les PC infectés comprennent une des trois applications Bitcoin  suivantes : Bitcoin Core, Multibit et Electrum. L’objectif est de trouver et de voler les fichiers : wallet.dat (utilisés par Bitcoin Core), .wallet (Multibit) et electrum.dat (Electrum). Ces fichiers contiennent des informations sur le portefeuille de Bitcoin de l’utilisateur.

Mais les chercheurs constatent que ces données ne sont pas forcément utiles. En effet, les éditeurs d’applications n’intègrent pas forcément de données sensibles, comme les mots de passe, au sein de ces fichiers portefeuille. Par exemple, Electrum ne stocke plus aucune donnée liée au portefeuille dans le fichier electrum.dat depuis 2013. Les deux experts de Trend Micro pensent que la mise à jour de Cerber est un moyen de tester différentes options pour mieux monétiser le ransomware.

A lire aussi :

Ransomwares : les entreprises françaises touchées, se distinguent

Ransomwares : 38 % des victimes paient leur rançon

Crédit Photo : Nina-Lisa-Shutterstock