Campanha massiva de e-mail propaga ransomware Scarab

Cibercriminosos já enviaram mais mais 12 milhões de mensagens com assunto conhecido (já utilizado pelo Locky) utilizando botnet Necurs, contendo no anexo um downloader de VBScript; ameaça criptografa arquivos e não vincula um valor de resgate, sugerindo que preço pode aumentar caso vítima não entre em contato depressa

Compartilhar:

Em uma forma similar ao ransomware Jaff, o Forcepoint Security Labs identificou outro ransomware, chamado “Scarab”, sendo distribuído pela botnet Necurs. A campanha massiva de e-mail começou aproximadamente às 07:30 (horário UTC) de 23 de novembro e continua ativa, com mais de 12,5 milhões de e-mails capturados até o momento.

 

O gráfico abaixo mostra o volume por hora dos e-mails Scarab/Necurs bloqueados pela Forcepoint entre 07:00 e 12:00 (horário UTC) de 23 de novembro:

 

 

Segundo telemetria, a maioria do tráfego está sendo enviada para o domínio de nível superior (TLD) .com. No entanto, isso foi seguido por TLDs específicos para cada região no Reino Unido, Austrália, França e Alemanha:

 

 

O e-mail usa o assunto “Scanned from {printer company name}” – um assunto conhecido por ter sido utilizado em campanhas anteriores do ransomware Locky distribuído via Necurs. O e-mail contém um anexo no formato 7zip contendo um downloader de VBScript.

 

 

Como tem sido observado anteriormente nas campanhas do Necurs, o VBScript contém uma série de referências à série Game of Thrones, em particular as sequências de caracteres “Samwell” e “JohnSnow”:

 

 

 

Os domínios de download usados como parte desta campanha são de sites comprometidos que foram utilizados anteriormente por campanhas realizadas pelo Necurs.

 

Ransomware Scarab

 

O ransomware Scarab é uma família de ransomware relativamente nova que foi descoberta em junho por Michael Gillespie. Na variante específica observada agora, o ransomware utiliza a seguinte cópia de si mesmo após a execução:

 

%Application Data%\sevnz.exe

 

Em seguida, cria uma entrada no Registro como um mecanismo de inicialização automática:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

Uma vez instalado, ele passa a criptografar arquivos, adicionando a extensão “.[suupport@protonmail.com].scarab” aos arquivos afetados. Um bilhete de resgate com o nome do arquivo “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” é deixado dentro de cada diretório afetado. O erro de ortografia em “support” está presente tanto nos nomes dos arquivos modificados como no pedido de resgate e presumivelmente é um resultado da disponibilidade de endereços de e-mail no serviço Protonmail.

 

Excepcionalmente, a nota não especifica o valor exigido no resgate, afirmando que “o preço depende de quão rápido você escrever para nós”. Esta nota é aberta automaticamente pelo malware após a execução.

 

 

O uso de um sistema de pagamentos baseado em e-mail foi observado em várias campanhas este ano (mais notavelmente o ataque NotPetya ocorrido em junho) e comprova – tanto para que os autores do malware como para as vítimas – ser um potencial ponto único de falha no sistema de pagamento, com provedores muitas vezes rapidamente desligando os endereços associados às campanhas de ransomware. No caso de Scarab, parece que esta possibilidade foi considerada, pois o bilhete de resgate fornece um mecanismo secundário de contato através do serviço BitMessage caso o endereço de e-mail se tornar indisponível.

 

Quando em execução, o Scarab executa os seguintes comandos para desativar os recursos de recuperação padrão do Windows:

 

cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

cmd.exe /c wmic SHADOWCOPY DELETE

cmd.exe /c vssadmin Delete Shadows /All /Quiet

cmd.exe /c bcdedit /set {default} recoveryenabled No

cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

 

Finalmente, uma vez que o processo de criptografia seja concluído, ele exclui a sua própria cópia original.

 

Conclusão

 

Utilizando os serviços de grandes botnets como o Necurs, pequenos players de ransomwares como os atores por trás do Scarab são capazes de executar uma campanha massiva com alcance global. A incerteza continua sobre a campanha ser temporária, como foi no caso do Jaff, ou se veremos o Scarab crescer através de campanhas realizadas pelo Necurs.

 

De qualquer forma, podemos esperar que o ransomware continue como parte significativa do cenário de ameaças por algum tempo.

 

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta vazamento de dados de 250 mil brasileiros no setor bancário

ZenoX detectou vazamento de dados na dark web e especialistas destacam medidas práticas de como evitar danos e proteger informações...
Security Report | Overview

Consumo no fim de ano aumenta urgência por Cibersegurança uniformizada, diz pesquisa

Com a chegada de uma das datas mais movimentadas do comércio, especialista alerta para os riscos de ataque e mostra...
Security Report | Overview

Como os riscos de Cyber podem ameaçar finanças e reputação na Black Friday?

A ameaça de danos financeiros e reputacionais torna a segurança cibernética robusta não apenas uma necessidade técnica, mas um imperativo...
Security Report | Overview

Estudo detecta crescimento de 95% dos ciberataques no Brasil

Relatório da Check Point Research registrou cerca de 2766 ataques digitais semanalmente no Brasil