Campanha massiva de e-mail propaga ransomware Scarab

Cibercriminosos já enviaram mais mais 12 milhões de mensagens com assunto conhecido (já utilizado pelo Locky) utilizando botnet Necurs, contendo no anexo um downloader de VBScript; ameaça criptografa arquivos e não vincula um valor de resgate, sugerindo que preço pode aumentar caso vítima não entre em contato depressa

Por: Redação, ⌚ 05/12/2017 às 17h18 - Atualizado em 05/12/2017 às 17h18

Em uma forma similar ao ransomware Jaff, o Forcepoint Security Labs identificou outro ransomware, chamado “Scarab”, sendo distribuído pela botnet Necurs. A campanha massiva de e-mail começou aproximadamente às 07:30 (horário UTC) de 23 de novembro e continua ativa, com mais de 12,5 milhões de e-mails capturados até o momento.

 

O gráfico abaixo mostra o volume por hora dos e-mails Scarab/Necurs bloqueados pela Forcepoint entre 07:00 e 12:00 (horário UTC) de 23 de novembro:

 

 

Segundo telemetria, a maioria do tráfego está sendo enviada para o domínio de nível superior (TLD) .com. No entanto, isso foi seguido por TLDs específicos para cada região no Reino Unido, Austrália, França e Alemanha:

 

 

O e-mail usa o assunto “Scanned from {printer company name}” – um assunto conhecido por ter sido utilizado em campanhas anteriores do ransomware Locky distribuído via Necurs. O e-mail contém um anexo no formato 7zip contendo um downloader de VBScript.

 

 

Como tem sido observado anteriormente nas campanhas do Necurs, o VBScript contém uma série de referências à série Game of Thrones, em particular as sequências de caracteres “Samwell” e “JohnSnow”:

 

 

 

Os domínios de download usados como parte desta campanha são de sites comprometidos que foram utilizados anteriormente por campanhas realizadas pelo Necurs.

 

Ransomware Scarab

 

O ransomware Scarab é uma família de ransomware relativamente nova que foi descoberta em junho por Michael Gillespie. Na variante específica observada agora, o ransomware utiliza a seguinte cópia de si mesmo após a execução:

 

%Application Data%\sevnz.exe

 

Em seguida, cria uma entrada no Registro como um mecanismo de inicialização automática:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

Uma vez instalado, ele passa a criptografar arquivos, adicionando a extensão “.[suupport@protonmail.com].scarab” aos arquivos afetados. Um bilhete de resgate com o nome do arquivo “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” é deixado dentro de cada diretório afetado. O erro de ortografia em “support” está presente tanto nos nomes dos arquivos modificados como no pedido de resgate e presumivelmente é um resultado da disponibilidade de endereços de e-mail no serviço Protonmail.

 

Excepcionalmente, a nota não especifica o valor exigido no resgate, afirmando que “o preço depende de quão rápido você escrever para nós”. Esta nota é aberta automaticamente pelo malware após a execução.

 

 

O uso de um sistema de pagamentos baseado em e-mail foi observado em várias campanhas este ano (mais notavelmente o ataque NotPetya ocorrido em junho) e comprova – tanto para que os autores do malware como para as vítimas – ser um potencial ponto único de falha no sistema de pagamento, com provedores muitas vezes rapidamente desligando os endereços associados às campanhas de ransomware. No caso de Scarab, parece que esta possibilidade foi considerada, pois o bilhete de resgate fornece um mecanismo secundário de contato através do serviço BitMessage caso o endereço de e-mail se tornar indisponível.

 

Quando em execução, o Scarab executa os seguintes comandos para desativar os recursos de recuperação padrão do Windows:

 

cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

cmd.exe /c wmic SHADOWCOPY DELETE

cmd.exe /c vssadmin Delete Shadows /All /Quiet

cmd.exe /c bcdedit /set {default} recoveryenabled No

cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

 

Finalmente, uma vez que o processo de criptografia seja concluído, ele exclui a sua própria cópia original.

 

Conclusão

 

Utilizando os serviços de grandes botnets como o Necurs, pequenos players de ransomwares como os atores por trás do Scarab são capazes de executar uma campanha massiva com alcance global. A incerteza continua sobre a campanha ser temporária, como foi no caso do Jaff, ou se veremos o Scarab crescer através de campanhas realizadas pelo Necurs.

 

De qualquer forma, podemos esperar que o ransomware continue como parte significativa do cenário de ameaças por algum tempo.

 



Newsletter

Graça Sermoud
Marcos Semola
Ronaldo Hayashi
Joaquim Garcia

/ VEJA TAMBÉM



/ COMENTÁRIOS