Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware Scarab diffuso mediante la botnet Necurs

botnet  Necurs  ransomware  Scarab   lunedì, 27 novembre 2017

A partire dallo scorso 23 novembre è stata osservata una nuova massiccia campagna di Email di spam lanciata dalla botnet Necurs, che distribuisce il ransomware Scarab.

Con un numero di bot attivi che oscilla tra i 5 e i 6 milioni rilevati ogni mese, la botnet Necurs è una delle maggiori fonti di spam ed è responsabile di altre vaste campagne di diffusione di malware, tra cui quelle del trojan bancario Dridex e del ransomware Locky.

Le Email distribuite in questa nuova campagna hanno come oggetto “Scanned from [marca stampante]”, dove “[marca stampante]” può essere ad esempio Lexmark, HP, Canon o Epson. Alle Email è allegato un file compresso 7zip (estensione “.7z”) con un nome del tipo “image2017-11-23-[7 cifre casuali].7z”. Il file contiene uno script VBScript con funzione di downloader che scarica il ransomware Scarab da una o più locazioni di rete esterne, tra cui ad esempio:

  • hard-grooves[.]com
  • pamplonarecados[.]com
  • miamirecyclecenters[.]com

Scarab è una famiglia di ransomware relativamente nuova, scoperta a giugno di quest’anno, basata sul codice open source di un ransomware proof-of-concept chiamato HiddenTear. Questa particolare variante di Scarab cifra i file della vittima appendendovi l’estensione “.[suupport@protonmail.com].scarab”. In tutte le cartelle contenenti file cifrati, questo ransomware crea il file chiamato “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” contenente la nota di riscatto (vedi immagine).

Nota di riscatto di Scarab

Stranamente, la nota non specifica la cifra da pagare per il riscatto, limitandosi ad affermare che il costo dipende dalla velocità con cui la vittima contatta i cybercriminali.

Al momento non sono noti strumenti in grado di decifrare i file presi in ostaggio da questa variante di Scarab senza pagare la somma richiesta. Fortunatamente, la capacità di individuazione di Scarab da parte dei più diffusi antivirus risulta molto elevata.

Per maggiori dettagli tecnici sul ransomware Scarab, inclusi svariati IoC, si suggerisce di consultare le seguenti fonti esterne (in Inglese):

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto