Los investigadores de seguridad creen que Necurs botnet fue alquilado por un actor de amenazas para difundir el escarabajo ransomware.
Scarab es una cepa de ransomware, descubierta por primera vez en junio por el investigador de seguridad Michael Gillespie, que ahora se está distribuyendo a millones de usuarios a través de una campaña masiva de spam con la temida botnet Necurs.
La botnet Necurs se utilizó en los últimos meses para impulsar muchos otros programas maliciosos, incluidos Locky, Jaff, GlobeImposter, Dridex y Trickbot. La campaña de spam en curso comenzó al mismo tiempo el Día de Acción de Gracias, la mayoría de los expertos en la comunidad de seguridad informaron sobre la actual campaña de spam, incluidas las firmas de seguridad F -Secure y Forcepoint.
Los expertos de Forcepoint destacaron un gran volumen de correos electrónicos no deseados enviados en unas pocas horas, 12.5 millones de correos electrónicos. “Forcepoint Security Labs ha observado que otra pieza de ransomware llamada Scarab es empujada por la infame botnet Necurs.
La campaña masiva de correo electrónico comenzó aproximadamente a las 07:30 UTC y está activa desde las 13:30 de hoy, totalizando más de 12.5 millones de correos electrónicos capturados hasta ahora”, dice el análisis publicado por Forcepoint. “El negocio de botnets de spam de Necurs está funcionando bien, ya que aparentemente está adquiriendo nuevos clientes.
La red de bots Necurs es la mayor fuente de spam con entre 5 y 6 millones de hosts infectados en línea mensualmente, y es responsable de las mayores campañas de spam de malware. Su modelo de servicio proporciona la cadena de infección completa: desde correos electrónicos no deseados con archivos adjuntos de malware maliciosos, hasta el alojamiento de las cargas útiles en sitios web comprometidos”, informó F-Secure. “La carga final (para nuestra sorpresa) fue Scarab ransomware, que no hemos visto anteriormente en campañas masivas de spam. Scarab ransomware es una variante de ransomware relativamente nueva que se observó por primera vez el pasado junio y su código se basa en la prueba de concepto de ransomware de código abierto llamada HiddenTear“.
La botnet Necurs impulsó decenas de millones de correos electrónicos no deseados del Scarab ransomware. Según Forcepoint, al mediodía, Necurs ya había enviado 12,5 millones de correos electrónicos con lo que parecía ser una nueva versión del escarabajo ransomware.
La campaña masiva de ransomware Scarab es evidente también a partir de los datos del servicio ID-Ransomware que permite a los usuarios detectar el tipo de ransomware que infecta su sistema. El siguiente gráfico muestra el número de envíos para el ransomware Scarab por día.
Los correos electrónicos de Scarab disfrazados de archivos que transportan imágenes escaneadas, los correos electrónicos elegidos para engañar a las víctimas para que abran el archivo, algunas de las líneas de asunto más populares utilizadas en la campaña fueron: Escaneado desde Lexmark Escaneado desde HP Escaneado desde Canon Escaneado desde Epson Estos correos electrónicos llevaban un archivo 7Zip que contenía un script de Visual Basic que actuaba como cuentagotas del escarabajo ransomware.
Los investigadores observaron que este script de Visual Basic contenía las mismas referencias de Game of Thrones que se observaron en otras campañas de Necurs que entregaron el Locky ransomware en septiembre.
Una primera variante del escarabajo ransomware fue descubierta en junio, en julio el investigador de Malwarebytes Marcelo Rivera descubrió una segunda versión que usaba la extensión “.scorpio”.
La variante utilizada actualmente por ladrones agrega la extensión “. [Suupport@protonmail.com] .scarab” a los nombres de archivo originales de los archivos cifrados.
Scarab ransomware elimina copias de volúmenes ocultos para imposibilitar la recuperación de los archivos, el malware arroja una nota de rescate llamada “SI DESEA RETIRAR TODOS LOS ARCHIVOS, LEA ESTO.TXT” en las PC de las víctimas.
El rescate hace referencia a la suma del rescate para pagar, pero insta a las víctimas a ponerse en contacto con los autores de Scarab por correo electrónico o BitMessage lo antes posible para pagar la menor de la suma del rescate.