Azov-Ransomware als Wiper identifiziert

Azov-Ransomware als Wiper identifiziert

Beitrag teilen

Die technische Analyse von Azov Ransomware beweist, dass es sich um einen fortschrittlichen Wiper und nicht um Ransomware handelt. Die Malware ist so ausgeklügelt, dass sie Dateien bis zur Unkenntlichkeit überschreibt.

Check Point Research stellt in diesem Zusammenhang eine besorgniserregende Entwicklung hin zu hochentwickelter Malware fest, die darauf abzielt, das befallene System zu zerstören, und rät Unternehmen, entsprechende Maßnahmen zu ergreifen.

Anzeige

Im Oktober verbreitete sich die sogenannte „Azov Ransomware“ durch gecrackte und raubkopierte Software und gab vor, die Dateien der Opfer zu verschlüsseln. Die Malware zielte dabei auf Windows-Rechner und gab lediglich vor, Ransomware zu sein. Eigentlich handelte es sich dabei um einen Wiper, der mit seiner sogenannten Multi-Threaded-Vorgehensweise nach und nach Dateien kleinschrittig mit jeweils 666 Bytes an Datenmüll überschrieb.

Zwei Versionen von „Azov Ransomware“

Die IT-Community wurde erstmals auf Azov als Nutzlast des SmokeLoader-Botnets aufmerksam, das häufig in gefälschter raubkopierter Software und auf Seiten für illegale Software-Downloads zu finden ist.

Azov hebt sich von der Vielzahl der zuletzt entdeckten Ransomware-Vorfälle dadurch ab, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen. Die Modifizierung von ausführbaren Dateien erfolgt mit polymorphem Code, um nicht von statischen Signaturen blockiert oder erkannt zu werden, und wird auch auf 64-Bit-Dateien angewendet, was dem durchschnittlichen Malware-Autor nicht in den Sinn käme.

Jeden Tag werden Hunderte neuer Azov-bezogener Proben an VirusTotal übermittelt, und im November 2022 waren es bereits mehr als 17.000. Obwohl noch nicht bekannt ist, welche Motivation hinter den Handlungen des Bedrohungsakteurs steckt, der Azov in freier Wildbahn verbreitet, ist jetzt klar, dass es sich bei Azov um eine fortschrittliche Malware handelt, die darauf abzielt, das kompromittierte System zu zerstören, auf dem sie ausgeführt wird.

In der Analyse hat CPR verschiedene Versionen von Azov unterschieden, eine ältere und eine etwas neuere. Die meisten Funktionen der beiden Versionen sind identisch, aber die neuere Version verwendet eine andere Lösegeldforderung sowie eine andere Dateierweiterung für die zerstörten Dateien, die sie erstellt. Beiden Versionen enthalten jeweils unterschiedliche Erpresserbriefe, die Einblicke in die Ideologie der Täter preisgeben.

Während die ältere Notiz eher abstrakt ist und allgemeine Situationen von Leben und Tod sowie Gefühle von Zerstörung und Verlust beschreibt, weist die neuere Notiz direkt auf den russisch-ukrainischen Konflikt hin. Sie weist das Opfer an, „Ihre Aufmerksamkeit auf das Problem zu lenken“, und weist darauf hin, dass „der Westen der Ukraine nicht genug hilft“.

Kommentar

Azov Ransomware ist keine Ransomware. Es handelt sich in Wirklichkeit um einen sehr fortschrittlichen und gut geschriebenen Wiper, der so konzipiert ist, dass er das kompromittierte System, auf dem er läuft, zerstört. Wir haben die erste Tiefenanalyse der Malware durchgeführt, die ihre wahre Identität als Wiper beweist. Azov unterscheidet sich von gewöhnlichen Wipern dadurch, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen, und verwendet polymorphen Code, um von statischen Signaturen nicht entdeckt zu werden. Die Malware nutzt das SmokeLoader-Botnet und Trojaner zur Verbreitung. Dies ist eine der ernsteren Malware, vor der man sich in Acht nehmen muss, da sie in der Lage ist, das System und die Dateien unwiederherstellbar zu machen. (Eli Smadja, Leiter der Forschungsabteilung bei Check Point Software).

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


Passende Artikel zum Thema

CPS: Neue Malware IOCONTROL zielt auf KRITIS

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von ➡ Weiterlesen

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen