Pues bien, como se acaba de saber, una nueva variante del ransomware conocido como Scarab, se está distribuyendo en estos momentos a millones de usuarios a través de una campaña masiva de spam impulsada por la temida botnet llamada Necurs. Decir que Scarab es una cepa de ransomware detectada por primera vez en el pasado mes de junio por el investigador de seguridad Michael Gillespie y que, ahora, se está distribuyendo de manera masiva en una campaña de spam de la botnet Necurs, red que se piensa que ha sido de nuevo alquilada para estas tareas por algún atacante.

De hecho, esta misma red botnet de Necurs ha sido usada en los últimos meses para lanzar otros muchos programas maliciosos incluyendo Locky, Jaff, GlobeImposter, Dridex o Trickbot. De este modo la actual campaña de spam comenzó hace unas horas y por el momento sigue en curso, como informan numerosas firmas relacionadas con la seguridad informática. De hecho algunos de estos expertos destacan el enorme volumen de spam enviado en pocas horas, un total 12,5 millones de correos electrónicos maliciosos.

seguridad-informatica

El ransomware Scarab llega a millones de usuarios en pocas horas

Es por ello que para muchos el negocio de la red botnet de spam Necurs está funcionando bastante bien y, visto lo visto, parece que está adquiriendo nuevos clientes. Para los que no lo sepáis, Necurs botnet es el mayor proveedor de spam con entre 5 y 6 millones de hosts infectados mensualmente, por lo que es responsable de las campañas de spam de malware más grandes del mundo. Su modelo de funcionamiento proporciona toda una cadena de infecciones, desde correos electrónicos con spam y archivos adjuntos de malware, hasta el alojamiento de estas cargas en sitios web comprometidos.

La última carga ha sido el mencionado ransomware Scarab, algo que hasta ahora no se había visto en campañas de spam masivas. Es más, Scarab es una variante relativamente nueva de ransomware detectada por primera vez el pasado mes de junio.

Por lo tanto esta campaña masiva de Scarab se ha podido ver a partir de los datos del servicio ID-Ransomware, que permite a los usuarios detectar el tipo de ransomware que infectó su sistema. Así los correos electrónicos maliciosos, en este caso contienen imágenes supuestamente escaneadas para engañar a las víctimas con el fin de que abran el archivo.

Por otro lado, los correos electrónicos contienen un archivo 7Zip con un script Visual Basic que se encarga de «entregar» el ransomware Scarab, script muy similar al empleado en otras campañas como la realizada con el malware Locky en el pasado mes de septiembre.

 

Fuente: SecurityAffairs | softzone