Descubren ransomware relacionado con Game Of Thrones

Actualidad

 

Forcepoint Security Labs encontró otra pieza de ransomware llamada “Scarab”, la cual está siendo distribuida por el botnet Necurs. La campaña masiva de correo electrónico comenzó aproximadamente a las 07:30 UTC el 23 de noviembre y sigue activa; hasta ahora se han capturado más de 12.5 millones de correos.

La siguiente gráfica muestra el volumen por hora de los correos electrónicos de Scarab/Necurs que Forcepoint bloqueó entre las 07:00 y las 12:00 UTC del 23 de noviembre:

1.jpg Captura de pantalla

Según nuestra telemetría, el grueso del tráfico se está enviando al dominio de alto nivel (TLD) .com. Sin embargo, éste fue seguido por TLDs de regiones específicas en el Reino Unido, Australia, Francia y Alemania:

2.jpg Captura de pantalla

El asunto que utiliza el correo electrónico es “Escaneado de {nombre de la compañía de impresoras}”, un tema que se ha utilizado en campañas anteriores del ransomware Locky, el cual se distribuyen desde Necurs. Contiene también un archivo 7zip que incluye un programa de descarga VBScript.

3.jpg Captura de pantalla

 Como se observó en las campañas de Necurs, VBScript contenía un gran número de referencias a la serie Game of Thrones, en particular las palabras “Samwell” y “JohnSnow”:

4.jpg Captura de pantalla5.jpg Captura de pantalla

 Los dominios de descarga que se utilizaron como parte de esta campaña eran sitios comprometidos que antes se habían utilizado en las campañas basadas en Necurs.

EL RANSOMWARE SCARAB

La carga misma –Scarab- es una familia de ransomware relativamente nueva que Michael Gillespie descubrió en junio pasado. En la variante que está siendo distribuida actualmente, el ransomware deja la siguiente copia de sí mismo para ejecutarse:

%Application Data%\sevnz.exe

 

Entonces crea una entrada de registro como un mecanismo de inicio automático:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Una vez que se instala, procede a encriptar archivos, añadiendo la extensión “.[suupport@protonmail.com].scarab” a los archivos afectados. En cada directorio afectado se coloca una nota de rescate cuyo nombre es “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” (Figura 5, abajo), el cual es presuntamente resultado de la disponibilidad de las direcciones de correo electrónico en el servicio Prontomail.

Normalmente la nota no especifica la cantidad que se está exigiendo, sino que simplemente dice que “el precio depende de lo rápido que nos escriba”. El malware también abre esta nota automáticamente una vez que se ejecuta.

6.jpg Captura de pantalla 

Se ha observado el uso de un sistema de pago basado en correo electrónico en varias campañas este año (particularmente en el ataque de NoPetya de junio) y ha demostrado ser –para los creadores y víctimas de malware- un punto potencial de falla en el sistema de pago ya que los proveedores a menudo reaccionan rápido para cerrar las direcciones asociadas con las campañas de ransomware. En el caso de Scarab, parece que esta posibilidad ya se ha considerado pues la nota de rescate ofrece un segundo mecanismo de contacto a través de BitMessage en caso de que la dirección de correo electrónico ya no está disponible.

 Cuando se activa, Scarab ejecuta los siguientes comandos para inhabilitar las funcionalidades de recuperación predeterminadas de Windows:

cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

 

Finalmente, una vez que se completa el proceso de encriptación, borra la copia original de sí mismo.

Al emplear los servicios de botnets más grandes como Necurs, los creadores de ransomware más pequeños como los que están detrás de Scarab pueden lanzar una campaña masiva de alcance global. La pregunta es si esta es una campaña temporal, como fue el caso de Jaff, o si Scarab aumentará su presencia en las campañas manejadas por Necurs.


<!-- /* Font Definitions */ @font-face {font-family:Arial; panose-1:2 11 6 4 2 2 2 2 2 4; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:-536859905 -1073711037 9 0 511 0;} @font-face {font-family:"Courier New"; panose-1:2 7 3 9 2 2 5 2 4 4; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:-536859905 -1073711037 9 0 511 0;} @font-face {font-family:"Cambria Math"; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:-536870145 1107305727 0 0 415 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:-536870145 1073786111 1 0 415 0;} @font-face {font-family:"DIN Next W06 Regular"; mso-font-alt:"Times New Roman"; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:auto; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin-top:0cm; margin-right:0cm; margin-bottom:10.0pt; margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:Calibri; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; color:windowtext; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} h2 {mso-style-priority:9; mso-style-unhide:no; mso-style-qformat:yes; mso-style-link:"Título 2 Car"; margin-top:15.0pt; margin-right:0cm; margin-bottom:7.5pt; margin-left:0cm; line-height:normal; mso-pagination:widow-orphan; mso-outline-level:2; font-size:22.5pt; font-family:"DIN Next W06 Regular"; mso-fareast-font-family:"Times New Roman"; mso-bidi-font-family:"Times New Roman"; color:#4D4D4D; mso-ansi-language:EN-US; mso-fareast-language:EN-US; font-weight:normal;} a:link, span.MsoHyperlink {mso-style-priority:99; color:#0A64AA; mso-text-animation:none; text-decoration:none; text-underline:none; text-decoration:none; text-line-through:none;} a:visited, span.MsoHyperlinkFollowed {mso-style-noshow:yes; mso-style-priority:99; color:purple; mso-themecolor:followedhyperlink; text-decoration:underline; text-underline:single;} p {mso-style-priority:99; margin-top:0cm; margin-right:0cm; margin-bottom:15.0pt; margin-left:0cm; line-height:16.5pt; mso-pagination:widow-orphan; font-size:13.0pt; font-family:"Times New Roman"; mso-fareast-font-family:"Times New Roman"; color:#4D4D4D; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} pre {mso-style-noshow:yes; mso-style-priority:99; mso-style-link:"HTML con formato previo Car"; margin:0cm; margin-bottom:.0001pt; line-height:normal; mso-pagination:widow-orphan; tab-stops:45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt; font-size:10.0pt; font-family:"Courier New"; mso-fareast-font-family:"Times New Roman"; color:windowtext; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} span.Ttulo2Car {mso-style-name:"Título 2 Car"; mso-style-priority:9; mso-style-unhide:no; mso-style-locked:yes; mso-style-link:"Título 2"; mso-ansi-font-size:22.5pt; mso-bidi-font-size:22.5pt; font-family:"DIN Next W06 Regular"; mso-ascii-font-family:"DIN Next W06 Regular"; mso-fareast-font-family:"Times New Roman"; mso-hansi-font-family:"DIN Next W06 Regular"; mso-bidi-font-family:"Times New Roman"; color:#4D4D4D;} span.HTMLconformatoprevioCar {mso-style-name:"HTML con formato previo Car"; mso-style-noshow:yes; mso-style-priority:99; mso-style-unhide:no; mso-style-locked:yes; mso-style-link:"HTML con formato previo"; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt; font-family:"Courier New"; mso-ascii-font-family:"Courier New"; mso-fareast-font-family:"Times New Roman"; mso-hansi-font-family:"Courier New"; mso-bidi-font-family:"Courier New";} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:11.0pt; mso-ansi-font-size:11.0pt; mso-bidi-font-size:11.0pt; font-family:Calibri; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} .MsoPapDefault {mso-style-type:export-only; margin-bottom:10.0pt; line-height:115%;} @page WordSection1 {size:612.0pt 792.0pt; margin:70.85pt 3.0cm 70.85pt 3.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.WordSection1 {page:WordSection1;} -->

1997-2017 © MeriStation, All Rights Reserved

Webs de PRISA

cerrar ventana