Pertama kali ditemukan pada tanggal 23 November, ransomware Scarab dikirim terutama ke alamat .com, diikuti oleh inbox co.uk. Pengiriman dikirim ke 12,5 juta alamat email dalam empat jam pertama saja, menurut Forcepoint.
Email yang tidak diminta yang dimaksud dilengkapi dengan judul subjek "Scanned from {printer company name}" yang sudah usang dan berisi lampiran 7zip dengan downloader VBScript.
Domain unduhan yang digunakan dalam kampanye dapat dikenali dari penggunaannya pada serangan berbasis Necurs sebelumnya, vendor mengklaim.
"Setelah menginstal [ransomware] melanjutkan untuk mengenkripsi file, tambahkan ekstensi '. [Suupport@protonmail.com] .scarab' ke file yang terpengaruh. Catatan uang tebusan dengan nama file 'JIKA ANDA INGIN MENGETAHUI SEMUA DATA ANDA KEMBALI, SILAKAN BACA INI.TXT' dijatuhkan di setiap direktori yang terpengaruh. Salah mengeja 'dukungan' hadir dalam nama file yang dimodifikasi dan catatan tebusan, dan mungkin merupakan hasil dari ketersediaan alamat email pada layanan Protonmail, "jelas Forcepoint.
"Tidak biasa, catatan tidak menentukan jumlah yang diminta, bukan hanya menyatakan bahwa 'harganya tergantung seberapa cepat Anda menulis surat kepada kami'. Catatan ini juga otomatis dibuka oleh malware setelah eksekusi. "
Meskipun pembayaran melalui Bitcoins, email diatur sebagai mekanisme komunikasi utama. Ini terjadi pada NotPetya di awal tahun ini, namun seperti yang dijelaskan oleh Forcepoint, ini bisa menjadi taktik yang tidak dapat diandalkan jika penyedia layanan bergerak cepat untuk menutup domain. Itu sebabnya alternatif kontak BitMessage juga diberikan.
Baca juga : McAfee membeli Skyhigh Networks untuk meningkatkan bisnis cloud
Baca juga : McAfee membeli Skyhigh Networks untuk meningkatkan bisnis cloud
Forcepoint menjelaskan bahwa menggunakan botnet besar seperti Necurs dapat memberi pelaku ransomware lebih kecil jangkauan global yang mereka butuhkan untuk memukul di atas berat badan mereka.
"Masih menjadi pertanyaan apakah ini adalah kampanye sementara, seperti kasus Jaff, atau jika kita melihat Scarab meningkat secara mencolok melalui kampanye berbasis Necurs," simpulnya.
Untungnya, meski memiliki distribusinya yang luas, Scarab terdeteksi oleh kebanyakan vendor anti-malware, menurut Chris Doman, peneliti keamanan di AlienVault.
"Scarab terlihat kurang canggih dari beberapa alat ransom lainnya seperti Locky, dan penggunaan sistem pembayaran uang tebusan berbasis e-mail sangat sederhana berbeda dengan distribusinya yang luas," tambahnya.
Author : Rama Trisna Pasa
Post a Comment