Em uma forma similar ao ransomware Jaff, o Forcepoint Security Labs identificou outro ransomware, chamado “Scarab”, sendo distribuído pela botnet Necurs. A campanha massiva de e-mail começou aproximadamente às 07:30 (horário UTC) de 23 de novembro e continua ativa, com mais de 12,5 milhões de e-mails capturados até o momento.
O gráfico abaixo mostra o volume por hora dos e-mails Scarab/Necurs bloqueados pela Forcepoint entre 07:00 e 12:00 (horário UTC) de 23 de novembro:
Segundo telemetria, a maioria do tráfego está sendo enviada para o domínio de nível superior (TLD) .com. No entanto, isso foi seguido por TLDs específicos para cada região no Reino Unido, Austrália, França e Alemanha:
O e-mail usa o assunto “Scanned from {printer company name}” – um assunto conhecido por ter sido utilizado em campanhas anteriores do ransomware Locky distribuído via Necurs. O e-mail contém um anexo no formato 7zip contendo um downloader de VBScript.
Como tem sido observado anteriormente nas campanhas do Necurs, o VBScript contém uma série de referências à série Game of Thrones, em particular as sequências de caracteres “Samwell” e “JohnSnow”:
Os domínios de download usados como parte desta campanha são de sites comprometidos que foram utilizados anteriormente por campanhas realizadas pelo Necurs.
Ransomware Scarab
O ransomware Scarab é uma família de ransomware relativamente nova que foi descoberta em junho por Michael Gillespie. Na variante específica observada agora, o ransomware utiliza a seguinte cópia de si mesmo após a execução:
%Application Data%\sevnz.exe
Em seguida, cria uma entrada no Registro como um mecanismo de inicialização automática:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Uma vez instalado, ele passa a criptografar arquivos, adicionando a extensão “.[suupport@protonmail.com].scarab” aos arquivos afetados. Um bilhete de resgate com o nome do arquivo “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” é deixado dentro de cada diretório afetado. O erro de ortografia em “support” está presente tanto nos nomes dos arquivos modificados como no pedido de resgate e presumivelmente é um resultado da disponibilidade de endereços de e-mail no serviço Protonmail.
Excepcionalmente, a nota não especifica o valor exigido no resgate, afirmando que “o preço depende de quão rápido você escrever para nós”. Esta nota é aberta automaticamente pelo malware após a execução.
O uso de um sistema de pagamentos baseado em e-mail foi observado em várias campanhas este ano (mais notavelmente o ataque NotPetya ocorrido em junho) e comprova – tanto para que os autores do malware como para as vítimas – ser um potencial ponto único de falha no sistema de pagamento, com provedores muitas vezes rapidamente desligando os endereços associados às campanhas de ransomware. No caso de Scarab, parece que esta possibilidade foi considerada, pois o bilhete de resgate fornece um mecanismo secundário de contato através do serviço BitMessage caso o endereço de e-mail se tornar indisponível.
Quando em execução, o Scarab executa os seguintes comandos para desativar os recursos de recuperação padrão do Windows:
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
Finalmente, uma vez que o processo de criptografia seja concluído, ele exclui a sua própria cópia original.
Conclusão
Utilizando os serviços de grandes botnets como o Necurs, pequenos players de ransomwares como os atores por trás do Scarab são capazes de executar uma campanha massiva com alcance global. A incerteza continua sobre a campanha ser temporária, como foi no caso do Jaff, ou se veremos o Scarab crescer através de campanhas realizadas pelo Necurs.
De qualquer forma, podemos esperar que o ransomware continue como parte significativa do cenário de ameaças por algum tempo.
