Ny Necurs kampanj levererar Scarab Ransomware

Computer Security News

En helt ny Necurs botnet kampanj är att leverera en ny variant av de Scarab ransomware. Kampanjen började kl 07:30 UTC på Thanksgiving Day, och 13:30 UTC på samma dag, Forcepoint experterna hade redan lyckats blockera över 12,5 miljoner Necurs e-post.

Säkerhetsföretaget F-Secure har också märkt den nya ransomware-kampanjen.

”Morse vid 9 AM (Helsingfors time, UTC + 2) vi observerade i början av en kampanj med skadliga .vbs skriptet downloaders komprimerad med 7zip”, forskaren Päivi Tynninen kommenterade.

”Baserat på våra telemetri”, experterna som Forcepoint sa, ”majoriteten av trafiken skickas till .com toppdomän (TLD). Emellertid, Detta följdes av regionsspecifika toppdomäner för Sverige, Australien, Frankrike och Tyskland ”.

Den Necurs botnet som träffar mellan 5 och 6 miljoner värdar varje månad, var ursprungligen populär för att sprida den Dridex bank trojan, Locky ransomware och ‘pump-och-dump’ system. I år, botnät har också levererat elitidrottsman och GlobeImposter ransomware och Scarab är den senaste.

Den Scarab ransomware märktes i juni, i år. F-Secure forskarna hävdar att koden för Scarab ”är baserad på öppen källkod ìransomware bevis-av-konceptet kallas HiddenTear”.

Det Necurs botnät är att leverera en skadlig VBS skriften downloader som är komprimerad med 7zip. Identiskt till tidigare kampanjer skriptet innehåller ett antal Games of Thrones referenser, till exempel strängarna ‘Samwell’ och ‘JohnSnow’, och den slutliga nyttolasten är Scarab hotet.

E-post är typiska Necurs – minimal brödtext med företagsrelaterade ämnen; i detta fall föreslår den bifogade filen innehåller bilder i skannade dokument. Populära ämnen ‘skannas från…’ med antingen Lexmark, HP, kanon eller Epson lagt.

”Ladda ner domäner användas som en del av denna kampanj var äventyras webbplatser som tidigare använts av Necurs-baserade kampanjer”, Forcepoint laget påstår.

Troligen, många organisationer kommer att ha sådana domäner svartlistad, dock av storleken av kampanjen kommer sannolikt att leda till många nya Scarab infektioner.

I fall downloader körs och den Scarab ransomware är installerat, det krypterar filer och lägger till ett nytt tillägg som slutar på ‘[suupport@protonmail.com] .scarab’. Den e-postadress som är en del av förlängningen, är det samma e-icludeded i hotbrev.

Hotbrev själv tillsammans med det filnamn ìIF du vill att få alla dina filer tillbaka, snälla Läs detta. TXTî, tappas in varje infekterad mapp. Denna anmärkning ange inte mängden lösen krävs, anger i stället att beloppet beror på hastigheten på offrets svar.

Ändå, hotbrev erbjuder dekryptera tre filer gratis att bevisa dekryptering är aktiv: ”innan betalar du kan skicka oss upp till 3 filer gratis dekryptering”.


Leave a Reply

Your email address will not be published. Required fields are marked *