Scarab Ransomware ใช้งาน Necurs Botnet เพื่อกระจายตัวเองผ่านทางอีเมล

Forcepoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้พบพฤติกรรมดังกล่าวครั้งแรกเมื่อวัน 23 พฤจิกายนว่า Scarab Ransomware ได้ถูกส่งออกไปยังโดเมน .com ตามมาด้วย .uk ตามลำดับ ด้วยอีเมลกว่า 12.5 ล้านฉบับภาย 4 ชั่วโมงแรกเท่านั้น

โดยอีเมล์ขยะดังกล่าวจะใช้ชื่อเรื่องว่า “Scanned from {ชื่อปริ้นเตอร์ของบบริษัท}” และพร้อมกับแนบไฟล์ 7zip ที่มี VBScript Downloader อยู่ภายใน ซึ่งนักวิจัยพบว่าโดเมนที่ใช้เพื่อดาวน์โหลดเคยถูกใช้ในการโจมตีของ Necurs และ Forcepoint ได้อธิบายเพิ่มเติมว่า “เมื่อ Ransomware ถูกติดตั้งแต่แล้วมันจะต่อท้ายไฟล์ที่เข้ารหัสด้วยชื่อ ‘.[suuport@protonmail.com].scarab’  พร้อมกับทิ้งไฟล์ชื่อ’IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ ไว้ในโฟลเดอร์ที่ได้รับผลกระทบ โดยชื่อ ‘support’ ที่ถูกเขียนผิดนั้นปรากฏอยู่ในชื่อไฟล์และข้อความ ดังนั้นมันอาจจะเป็นไปได้ว่าอีเมลนั้นมีอยู่จริงบนบริการอีเมลของ Protonmail”

นอกจากนี้มัลแวร์ตัวนี้ไม่ได้ทิ้งข้อความเรียกร้องจำนวนเงินที่ต้องการเอาไว้เพียงแต่บอกว่าราคาขึ้นกับว่าเหยื่อจะติดต่อกับผู้โจมตีมาเร็วแค่ไหน แม้ว่าการจ่ายเงินจะผ่านทาง Bitcoins เช่นเดิมและใช้อีเมลเพื่อการติดต่อเป็นช่องทางหลัก แต่มันก็มี BitMessage สำรองเอาไว้ในกรณีที่โดเมนดังกล่าวถูกปิดไป

อย่างไรก็ตามโชคดีที่ Anti-malware ของหลายเจ้าสามารถตรวจจับ Scarab ได้และแม้ว่ามันจะดูเหมือนมีความซับซ้อนน้อยกว่า Locky แต่การเรียกค่าไถ่ผ่านทางอีเมลมันดูง่ายและขัดแย้งกับการกระจายตัวในวงกว้างของมัน ดังนั้นเพื่อความปลอดภัยผู้ใช้งานก็อย่านิ่งนอนใจด้วยการใช้งานซอฟต์แวร์เพื่อป้องกันเครื่องให้ปลอดภัยรวมถึงอัปเดทให้ล่าสุดอยู่เสมอและระมัดระวังการใช้งานอีเมลให้มากขึ้นด้วย

ที่มา : https://www.infosecurity-magazine.com/news/scarab-ransomware-necurs-spread/