Em uma forma similar ao ransomware Jaff, o Forcepoint Security Labs identificou outro ransomware, chamado “Scarab”, sendo distribuído pela botnet Necurs. A campanha massiva de e-mail começou aproximadamente às 07:30 (horário UTC) de 23 de novembro e continua ativa, com mais de 12,5 milhões de e-mails capturados até o momento.
“Segundo nossa telemetria, a maioria do tráfego está sendo enviada para o domínio de nível superior (TLD) .com. No entanto, isso foi seguido por TLDs específicos para cada região no Reino Unido, Austrália, França e Alemanha”, destaca o blog da Forcepoint.
O e-mail usa o assunto “Scanned from {printer company name}” – um assunto conhecido por ter sido utilizado em campanhas anteriores do ransomware Locky distribuído via Necurs. O e-mail contém um anexo no formato 7zip contendo um downloader de VBScript. Como tem sido observado anteriormente nas campanhas do Necurs, o VBScript contém uma série de referências à série Game of Thrones, em particular as sequências de caracteres “Samwell” e “JohnSnow”. Os domínios de download usados como parte desta campanha são de sites comprometidos que foram utilizados anteriormente por campanhas realizadas pelo Necurs.
O ransomware Scarab é uma família de ransomware relativamente nova que foi descoberta em junho por Michael Gillespie. Uma vez instalado, ele passa a criptografar arquivos, adicionando a extensão “.[suupport@protonmail.com].scarab” aos arquivos afetados. Um bilhete de resgate com o nome do arquivo “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” é deixado dentro de cada diretório afetado. O erro de ortografia em “support” está presente tanto nos nomes dos arquivos modificados como no pedido de resgate e presumivelmente é um resultado da disponibilidade de endereços de e-mail no serviço Protonmail.
Excepcionalmente, a nota não especifica o valor exigido no resgate, afirmando que “o preço depende de quão rápido você escrever para nós”. Esta nota é aberta automaticamente pelo malware após a execução. O uso de um sistema de pagamentos baseado em e-mail foi observado em várias campanhas este ano (mais notavelmente o ataque NotPetya ocorrido em junho) e comprova – tanto para que os autores do malware como para as vítimas – ser um potencial ponto único de falha no sistema de pagamento, com provedores muitas vezes rapidamente desligando os endereços associados às campanhas de ransomware. No caso de Scarab, parece que esta possibilidade foi considerada, pois o bilhete de resgate fornece um mecanismo secundário de contato através do serviço BitMessage caso o endereço de e-mail se tornar indisponível.
Quando em execução, o Scarab executa os seguintes comandos para desativar os recursos de recuperação padrão do Windows. Finalmente, uma vez que o processo de criptografia seja concluído, ele exclui a sua própria cópia original.
Utilizando os serviços de grandes botnets como o Necurs, pequenos players de ransomwares como os atores por trás do Scarab são capazes de executar uma campanha massiva com alcance global. A incerteza continua sobre a campanha ser temporária, como foi no caso do Jaff, ou se veremos o Scarab crescer através de campanhas realizadas pelo Necurs.
De qualquer forma, conforme observamos em nosso recente relatório 2018 Security Predictions, podemos esperar que o ransomware continue como parte significativa do cenário de ameaças por algum tempo. Como sempre, o Forcepoint Security Labs continuará monitorando a evolução desta ameaça e fornecerá atualizações conforme for necessário.
