Plusieurs variantes du ransomware Scarab ont été identifiées

Plusieurs variantes du ransomware Scarab ont été identifiées depuis sa découverte en juin 2017 (la version la plus répandue et populaire est celle distribuée via le botnet Necurs). Scarabey est une nouvelle variante découverte en décembre 2017 qui diffère légèrement de la version initiale.

Scénario d’infection et de propagation

Bien que Scarabey soit conçu comme la plupart des ransomwares, il a été constaté que ce dernier ciblait en particulier la population russe et qu’il est propagé via RDP ou chargement manuel direct sur les systèmes cibles. En l’occurrence, le message de demande de rançon est écrit en russe contrairement à Scarab dont le message a été traduit mot-à-mot en anglais depuis le russe. Par ailleurs, Scarabey est codé en langage Delphi et ne contient pas de paquetage C++ comme c’est le cas pour Scarab.

Scénario d’attaque

Le code de Scarabey est quasi-similaire à celui de Scarab. En effet, les sous-processus générés, les fichiers chargés, la méthode de chiffrement utilisée et les mutex utilisés sont semblables dans les deux variantes.

Lors de son exécution, Scarabey commence par vérifier s'il est exécuté pour la première fois en vérifiant la définition de la clé de registre « Software\ILRTISo\idle ». Dans le cas d'une première exécution, le malware vérifie que SEVNZ n'existe pas puis se copie dans l'exécutable « sevnz.exe ». Après son exécution, le ransomware supprime les points de restauration, chiffre le disque dur puis lance une boucle infinie pour s’assurer qu’aucun processus clé ne s’exécute (en s'exécutant, ces derniers utiliseraient des ressources qu'il ne pourrait pas chiffrer).

Scarabey utilise l’algorithme de chiffrement AES 256 en appliquant un « ou exclusif » entre le vecteur d’initialisation et le texte en clair avant de chiffrer. La clé de chiffrement encodée est mentionnée dans la clé de registre « temp » et diffère en fonction du fichier à chiffrer. Ainsi, deux fichiers avec un contenu identique peuvent donner un résultat différent après le chiffrement.

Suite au chiffrement du disque local, le ransomware s’attaque aux ressources distantes. A la fin des opérations, la demande de rançon est formulée via l’application notepad.exe.

Recommandations

La demande de rançon stipule que les attaquants disposent de copies des fichiers déchiffrés à délivrer à la victime une fois la rançon payée. Selon MalwareBytes, ceci ne peut être possible puisque l’analyse du code du malware ne révèle aucune porte dérobée ou accès à distance. De plus, aucune section du code du malware ne supprime les fichiers locaux de la victime.

Pour se protéger face à ce type de malware, il est primordial de mettre à jour l’ensemble des logiciels utilisés à la dernière version disponible ainsi que la base de signatures de l’antivirus. De plus, il est recommandé d’adopter une méthode de gestion de la sécurité en profondeur et d’utiliser des sondes de détection d’intrusions sur les hôtes.