book_icon

Forcepoint alerta para campanha massiva de ransomware Scarab

Em uma forma similar ao ransomware Jaff, o Forcepoint Security Labs identificou outro ransomware, chamado “Scarab”, sendo distribuído pela botnet Necurs. A campanha massiva de e-mail começou aproximadamente às 07:30 (horário UTC) de 23 de novembro e continua ativa, com mais de 12,5 milhões de e-mails capturados até o momento.

Segundo nossa telemetria, a maioria do tráfego está sendo enviada para o domínio de nível superior (TLD) .com. No entanto, isso foi seguido por TLDs específicos para cada região no Reino Unido, Austrália, França e Alemanha.

O e-mail usa o assunto “Scanned from {printer company name}” – um assunto conhecido por ter sido utilizado em campanhas anteriores do ransomware Locky distribuído via Necurs. O e-mail contém um anexo no formato 7zip contendo um downloader de VBScript.

Como tem sido observado anteriormente nas campanhas do Necurs, o VBScript contém uma série de referências à série Game of Thrones, em particular as sequências de caracteres “Samwell” e “JohnSnow”. Os domínios de download usados como parte desta campanha são de sites comprometidos que foram utilizados anteriormente por campanhas realizadas pelo Necurs.

Ransomware Scarab
O ransomware Scarab é uma família de ransomware relativamente nova que foi descoberta em junho por Michael Gillespie. Uma vez instalado, ele passa a criptografar arquivos, adicionando a extensão “suupport@protonmail.com].scarab” aos arquivos afetados.

Um bilhete de resgate com o nome do arquivo “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” é deixado dentro de cada diretório afetado. O erro de ortografia em “support” está presente tanto nos nomes dos arquivos modificados como no pedido de resgate e presumivelmente é um resultado da disponibilidade de endereços de e-mail no serviço Protonmail.

Excepcionalmente, a nota não especifica o valor exigido no resgate, afirmando que “o preço depende de quão rápido você escrever para nós”. Esta nota é aberta automaticamente pelo malware após a execução. O uso de um sistema de pagamentos baseado em e-mail foi observado em várias campanhas este ano (mais notavelmente o ataque NotPetya ocorrido em junho) e comprova – tanto para que os autores do malware como para as vítimas – ser um potencial ponto único de falha no sistema de pagamento, com provedores muitas vezes rapidamente desligando os endereços associados às campanhas de ransomware.

No caso de Scarab, parece que esta possibilidade foi considerada, pois o bilhete de resgate fornece um mecanismo secundário de contato através do serviço BitMessage caso o endereço de e-mail se tornar indisponível.

Quando em execução, o Scarab executa os seguintes comandos para desativar os recursos de recuperação padrão do Windows. Finalmente, uma vez que o processo de criptografia seja concluído, ele exclui a sua própria cópia original.

Declaração de proteção
Os clientes da Forcepoint estão protegidos contra esta ameaça através do TRITON® ACE nas seguintes etapas do ataque:
Fase 2 (Atração) – E-mails maliciosos associados com este ataque são identificados e bloqueados.

Fase 5 (Dropper de arquivos) – O download das variantes do Scarab é impedido.

Conclusão
Utilizando os serviços de grandes botnets como o Necurs, pequenos players de ransomwares como os atores por trás do Scarab são capazes de executar uma campanha massiva com alcance global. A incerteza continua sobre a campanha ser temporária, como foi no caso do Jaff, ou se veremos o Scarab crescer através de campanhas realizadas pelo Necurs.

De qualquer forma, conforme observamos em nosso recente relatório 2018 Security Predictions, podemos esperar que o ransomware continue como parte significativa do cenário de ameaças por algum tempo. Como sempre, o Forcepoint Security Labs continuará monitorando a evolução desta ameaça e fornecerá atualizações conforme for necessário.

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital

Agenda & Eventos

Cadastre seu Evento