Scarab, nuovo ransomware diffuso dalla botnet Necurs

Scarab, nuovo ransomware diffuso dalla botnet Necurs

Il ransomware Scarab scoperto per la prima volta a giugno è ora diffuso da Necurs, la più grande botnet di spam email. Sono milioni le email di spam inviate per veicolare il malware
Il ransomware Scarab scoperto per la prima volta a giugno è ora diffuso da Necurs, la più grande botnet di spam email. Sono milioni le email di spam inviate per veicolare il malware

Forcepoint ha messo in luce l’ennesimo ransomware dopo Locky, Jaff e GlobeImposter chiamato Scarab , inviato dalla botnet Necurs, responsabile per alcune delle più grandi campagne di spam con 5-6 milioni di host infettati al mese.

In sei ore, nel giorno del ringraziamento americano, Necurs aveva già inviato 12,5 milioni di email contenenti una versione modificata di Scarab. Dall’immagine seguente, che riguarda il sito ID-Ransomware – che consente di identificare il tipo di ransomware che ha infettato il proprio sistema – è possibile notare il picco di rilevamenti di Scarab.

scarab2

scarab1

Le email contenenti Scarab seguono un pattern già utilizzato in passato dallo spam di Necurs , l’oggetto della mail dà l’illusione che l’allegato sia una scansione di un documento, ad esempio:

  • Scanned from Lexmark
  • Scanned from HP
  • Scanned from Canon
  • Scanned from Epson

Ma l’allegato è in realtà un archivio 7-Zip contenente uno script Visual Basic che scarica ed esegue il ransomware .

Lo script contiene gli stessi riferimenti a Game of Thrones visti nella campagna ransomware di Locky tra cui ad esempio variabili come: Aria, SansaStark, RobertBaration, JohnSnow, o HoldTheDoor.

Scarab, scoperto a giugno da Michael Gillespie, è basato sul proof-of-concept HiddenTear, scritto in Delphi e riconoscibile tramite l’estensione “.scarab” mentre la seconda versione di Luglio usava l’estensione “.scorpio”.

La versione attuale diffusa da Necurs utilizza di nuovo l’estensione “.scarab” criptando i file senza cambiarne il nome originale, ma facendo un append ad ogni nome di file con l’estensione “.[suupport@protonmail.com].scarab”

Quando eseguito Scarab disabilita le funzionalità di ripristino di Windows:

cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

Dopo aver terminato di cifrare i dati si autoelimina e apre un file denominato “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT”.

scarab1

La richiesta di riscatto non menziona una somma da pagare per riavere i propri file leggibili, ma dice agli utenti che più velocemente contatteranno gli autori di Scarab via email (o BitMessage) più piccola sarà la somma del riscatto.

L’uso del pagamento tramite email lo abbiamo già visto in molte campagne malware tra cui NotPetya, e al momento della scrittura dell’articolo non esiste un metodo per il recupero dei file crittografati da questo ransomware.

Ilaria Di Maro

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
27 nov 2017
Link copiato negli appunti