O Necurs Botnet Passa o Dia de Ação de Graças Espalhando o Malicioso Scarab Ransomware
Era dia de ação de graças na América ontem e, enquanto muitas pessoas se preparavam para passar o dia cercado por seus entes queridos, as pessoas que operavam na rede de bots Necurs estavam bastante ocupadas. A rede de computadores comprometidos que enviava spam havia sido encomendada para enviar uma enorme onda de e-mails manipulados por ransomware.
Se você estiver interessado em segurança da informação e ouvir as palavras "Necurs" e "ransomware" na mesma frase, provavelmente pensará que o ransomware Locky está envolvido. De fato, o que é chamado de "a maior botnet de spam do mundo" teve um papel fundamental no sucesso de Locky. Ontem, no entanto, Necurs não estava entregando Locky. Em vez disso, espalhou o Scarab Ransomware.
O Scarab é uma das inúmeras famílias de ransomware que apareceram no verão de 2017. Foi flagrado pela primeira vez na natureza em junho e nunca conseguiu causar muitos danos. Até ontem, é isso.
Os pesquisadores da Forcepoint avistaram os e-mails maliciosos por volta das 7:30 UTC e às 13:30 UTC, haviam capturado mais de 12 milhões de mensagens. A onda de spam era enorme e a engenharia social era um caso clássico do Necurs. Os downloaders do VBScript foram disfarçados de imagens digitalizadas e colocados em arquivos 7z. O endereço de email de envio foi falsificado para convencer os usuários de que as mensagens realmente vêm de suas redes e os participantes lêem "Digitalizados a partir do [nome do fabricante de um scanner]". Os especialistas da F-Secure, que também estavam monitorando a campanha, observaram que praticamente as mesmas técnicas foram usadas não mais de duas semanas atrás, quando Necurs ainda estava espalhando Locky.
Uma vez executado, o downloader do VBS baixa a carga útil do Scarab de alguns sites comprometidos (alguns deles foram usados por Locky no passado). O executável é colocado na pasta% AppData% e é nomeado "sevnz.exe". A persistência é alcançada através de uma das chaves de execução do registro, e alguns comandos executados através do cmd.exe excluem as cópias do volume de sombra e desabilitam as opções de recuperação internas do Windows. Em seguida, comece a criptografia.
Não há muitos detalhes disponíveis sobre como o Scarab embaralha os arquivos, mas, de acordo com a Enciclopédia de ameaças da Trend Micro, o número de extensões direcionadas é bastante longo e, em outubro, Michael Gillespie, os pesquisadores que descobriram o ransomware pela primeira vez, disse que a descriptografia grátis dos arquivos não é possível por enquanto.
A versão distribuída pela Necurs ontem não altera os nomes dos arquivos e acrescenta ". [Suupport@protonmail.com] .scarab" às extensões. Por fim, uma nota de resgate do TXT intitulada "SE VOCÊ QUER RECUPERAR TODOS OS SEUS ARQUIVOS, LEIA ESTE.TXT" é colocada em cada pasta afetada.
O uso da botnet Necurs e a reutilização de alguns servidores de hospedagem de carga útil podem levar você a acreditar que as pessoas que operam Locky estão executando a campanha Scarab. Um olhar mais atento às evidências sugere o contrário, no entanto.
De fato, do ponto de vista da execução, o ransomware Scarab não consegue segurar uma vela ao poderoso Locky. Por um lado, o Scarab é baseado no construtor de código aberto HiddenTear ransomware, que permitiu a muitas crianças de script despejar suas tentativas patéticas de executar uma operação de crimes cibernéticos no mundo. Não há página e sistema de pagamento hospedados pelo Tor. Em vez disso, as vítimas são instruídas a entrar em contato com os criminosos por e-mail, e um canal de comunicação de backup é configurado graças ao Bitmessage. Até o valor do resgate não está especificado. Aparentemente, depende da rapidez com que as vítimas chegam.
O escaravelho pode não ter sido projetado por profissionais, mas a mera presença da botnet Necurs o torna eficaz, especialmente considerando a falta de um decodificador gratuito. Isso mostra que, atualmente, a execução de uma operação de ransomware requer nada mais do que algumas horas gastas no repositório HiddenTear GitHub e alguns Bitcoins sobressalentes para alugar o maior botnet do mundo.
A única boa notícia é que o pico diminuiu nas últimas 24 horas (link: https://twitter.com/malwrhunterteam/status/934011921673703424). Vamos torcer para que continue assim.