Le botnet de spam Necurs répand une nouvelle version de Scarab

Le botnet Necurs a été utilisé le 23 Novembre au matin pour diffuser un ransomware connu sous le nom de Scarab. En six heures, plus de 12,5 millions de mails ont été envoyés. Necurs compte entre cinq et six millions d’hôtes et est régulièrement utilisé pour distribuer des malware comme le cheval de troie Dridex, le ransomware Locky et les logiciels de « pump & dump » utilisés pour gonfler la valeur des actions.

Scarab, qui a été découvert en Juin 2017, se base sur le ransomware opensource « HiddenTear ». Il se comporte de façon similaire à plusieurs malwares connus, comme Locky et Dridex, et peut être détecté par la majorité des anti-virus.

Le ransomware Scarab est envoyé par mail via Necurs. Le mail contient un texte minimaliste relatant de sujets professionnels et met à disposition en annexe un fichier compressé par 7zip. L’objet du mail précise que le fichier a été scanné par un appareil Lexmark, HP, Epson ou Canon.

Une fois le fichier téléchargé et exécuté, Scarab commence à chiffrer les fichiers stockés sur la machine de la victime et ajoute une extension « .scarab » à chaque fichier chiffré. Il insère également une demande de rançon nommée « IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT » dans chaque dossier et l’ouvre automatiquement à la fin du chiffrement.

La demande de rançon n'annonce pas de montant fixe pour récupérer les données mais met en avant que le tarif dépendra de la réactivité de la victime. Les attaquants suggèrent à ces derniers de prendre contact avec eux à l'adresse "support(at)protonmail.com". Ils proposent d’utiliser « BitMessage », une messagerie anonyme, au cas où l’adresse de messagerie n’est plus disponible. Pour s’assurer de l’efficacité de la méthode de déchiffrement proposée par les attaquants, ces derniers offrent la possibilité de déchiffrer jusqu’à trois fichiers gratuitement.

Pour se protéger contre ce genre d’attaques, il est recommandé de traiter les mails non sollicités ou suspects avec prudence et de ne pas ouvrir de fichiers provenant de sources inconnues. Il est aussi conseillé de mettre à jour tous les produits à la dernière version disponible et de mettre à jour la base de signatures de l’antivirus.