Massiver Angriff durch Erpressungstrojaner Scarab

Massiver Angriff durch Erpressungstrojaner ScarabDer Sicherheitsanbieter Forcepoint deckte eine flächendeckende Kampagne auf, die eine relativ neue Erpressungs-Software namens Scarab verbreitet und damit Systeme unter dem Betriebssystem Windows gefährdet.

Der Angriff begann vorgestern

Der Angriff begann am frühen Morgen des 23. November und benutzte das berüchtigte Botnet Necurs, um innerhalb von nur wenigen Stunden immerhin 12,5 Millionen Emails mit der angehängten Malware zu zuzustellen.

Massiver Angriff durch Erpressungstrojaner ScarabDiese Massen an Emails gingen überwiegend an die TLD .com – gefolgt von .com.uk, .com.au, .fr und .de.

Großbritannien, Australien, Frankreich und Deutschland gehörten also zu den anvisierten Zielen der Erpressungs-Kampagne.

Scarab selbst gehört zu einer recht neuen Ransomware-Familie, die gerade erst vor ein paar Monaten im Juni dieses Jahres entdeckt wurde.

Bei dem aktuell laufenden Angriff kommt eine Variante zum Einsatz, die bei ihrer Ausführung eine Kopie als %Application Data%\sevnz.exe anfertigt und danach einen Registry-Eintrag zum Autostart erstellt. Außerdem führt Scarab Befehle aus, mit denen Recovery-Features von Windows ausgeschaltet werden.

Wenn die Schadsoftware mit der Verschlüsselung von Dateien loslegt, erweitert sie die die Dateinamen um „.[[email protected]].scarab“. Die fehlerhafte Schreibweise des Wortes „support“ hat vermutlich damit zu tun, dass die gewünschte E-Mail-Adresse beim Protonmail-Dienst schon vergeben war.

Ungewöhnliche Lösegeldforderung

Ist der Verschlüsselungsvorgang abgeschlossen, entfernt das Programm die ursprünglich angelegte eigene Kopie wieder. Die Erpresser fordern ihre Opfer dann auf, über die genannte E-Mail-Adresse Kontakt mit ihnen aufzunehmen. Falls der Provider die Adresse während der anlaufenden Kampagne sperrt, geben sie bei ihrer Lösegeldforderung eine weitere Kontaktmöglichkeit über BitMessage an.

Ungewöhnlich ist es, dass die Erpresser nicht direkt einen Betrag für die Entschlüsselung der Daten angeben. „Der Preis hängt davon ab, wie schnell Sie sich an uns wenden“, heißt es dazu in ihrem Erpresserschreiben, das die Schadsoftware nach ihrer Ausführung automatisch öffnet.


wallpaper-1019588
Blue Box: Neuer Trailer enthüllt Theme-Songs des zweiten Cours + Cast-Mitglied
wallpaper-1019588
Chainsaw Man – The Movie: Reze Arc: Neuer Trailer enthüllt Startjahr
wallpaper-1019588
Aharen-san wa Hakarenai: Startmonat der zweiten Staffel bekannt gegeben
wallpaper-1019588
Wie wird Weihnachten in anderen Länder gefeiert?