「Cerber」は以前よりランサムウェア市場で支配的な存在となっている。Cerberの開発者は同ランサムウェアを頻繁にアップデートし、サイバーセキュリティツールによる検知を逃れる機能など、さまざまな新機能を追加しているだけでなく、ランサムウェアで手軽に利益を得たいと考える低レベルのハッカーにCerberを「サービスとして」販売することで、身代金が支払われるたびに分け前を得ているからだ。
Cerberがさらに凶悪化した。
提供:Malwarebytes
さらに悪いことに、Cerberは非常に強力な暗号を使用する。Cerberは絶えず進化しているので、最新バージョンに対して有効な暗号解読ツールは存在しない。
Cerberの首謀者たちは、「Windows」で90%のシェアを誇るランサムウェアファミリで被害者から身代金を奪うだけでは飽き足らず、被害者からより多くの身代金を得るために、同ランサムウェアをさらに強化した。
Cerberの最新バージョンは、300ドル~600ドルの身代金以外にも利益を得るため、暗号通貨とパスワードを被害者から盗もうと試みる。
拡散方法は以前と同じだが(Cerberはこれまでと同様、フィッシング電子メールの悪意ある添付ファイルを通して、被害者を攻撃する)、エクスプロイトキットは暗号化プロセスを開始する前に、ほかの悪質なタスクの実行も試みるようになった。
Cerberのペイロードを配布しようとするフィッシングメール
提供:Trend Micro
Trend Microの研究チームによると、攻撃プロセスは「比較的シンプル」で、Cerberは3種類のBitcoinウォレットアプリケーション(ファーストパーティーの「Bitcoin Core」、サードパーティーの「Electrum」「Multibit」)を標的にするという。
ウォレットの中身にアクセスするにはパスワードが必要だが、Cerberはそれにも対応済みだ。Cerberは「Internet Explorer」「Google Chrome」「Mozilla Firefox」から保存済みパスワードを盗もうと試みる。
Bitcoinウォレットの保存済みパスワード情報が検出された場合、その情報はC&Cサーバ経由で攻撃者に送信される。ハッカーはその情報を使って、ウォレット内の暗号通貨にアクセスする。
さらに悪質なことに、Cerberはシステムの暗号化と身代金の要求を行う前に、ウォレットファイルを完全に削除する。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。