Azov-Ransomware als Wiper identifiziert

Azov-Ransomware als Wiper identifiziert

Beitrag teilen

Die technische Analyse von Azov Ransomware beweist, dass es sich um einen fortschrittlichen Wiper und nicht um Ransomware handelt. Die Malware ist so ausgeklügelt, dass sie Dateien bis zur Unkenntlichkeit überschreibt.

Check Point Research stellt in diesem Zusammenhang eine besorgniserregende Entwicklung hin zu hochentwickelter Malware fest, die darauf abzielt, das befallene System zu zerstören, und rät Unternehmen, entsprechende Maßnahmen zu ergreifen.

Im Oktober verbreitete sich die sogenannte „Azov Ransomware“ durch gecrackte und raubkopierte Software und gab vor, die Dateien der Opfer zu verschlüsseln. Die Malware zielte dabei auf Windows-Rechner und gab lediglich vor, Ransomware zu sein. Eigentlich handelte es sich dabei um einen Wiper, der mit seiner sogenannten Multi-Threaded-Vorgehensweise nach und nach Dateien kleinschrittig mit jeweils 666 Bytes an Datenmüll überschrieb.

Zwei Versionen von „Azov Ransomware“

Die IT-Community wurde erstmals auf Azov als Nutzlast des SmokeLoader-Botnets aufmerksam, das häufig in gefälschter raubkopierter Software und auf Seiten für illegale Software-Downloads zu finden ist.

Azov hebt sich von der Vielzahl der zuletzt entdeckten Ransomware-Vorfälle dadurch ab, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen. Die Modifizierung von ausführbaren Dateien erfolgt mit polymorphem Code, um nicht von statischen Signaturen blockiert oder erkannt zu werden, und wird auch auf 64-Bit-Dateien angewendet, was dem durchschnittlichen Malware-Autor nicht in den Sinn käme.

Jeden Tag werden Hunderte neuer Azov-bezogener Proben an VirusTotal übermittelt, und im November 2022 waren es bereits mehr als 17.000. Obwohl noch nicht bekannt ist, welche Motivation hinter den Handlungen des Bedrohungsakteurs steckt, der Azov in freier Wildbahn verbreitet, ist jetzt klar, dass es sich bei Azov um eine fortschrittliche Malware handelt, die darauf abzielt, das kompromittierte System zu zerstören, auf dem sie ausgeführt wird.

In der Analyse hat CPR verschiedene Versionen von Azov unterschieden, eine ältere und eine etwas neuere. Die meisten Funktionen der beiden Versionen sind identisch, aber die neuere Version verwendet eine andere Lösegeldforderung sowie eine andere Dateierweiterung für die zerstörten Dateien, die sie erstellt. Beiden Versionen enthalten jeweils unterschiedliche Erpresserbriefe, die Einblicke in die Ideologie der Täter preisgeben.

Während die ältere Notiz eher abstrakt ist und allgemeine Situationen von Leben und Tod sowie Gefühle von Zerstörung und Verlust beschreibt, weist die neuere Notiz direkt auf den russisch-ukrainischen Konflikt hin. Sie weist das Opfer an, „Ihre Aufmerksamkeit auf das Problem zu lenken“, und weist darauf hin, dass „der Westen der Ukraine nicht genug hilft“.

Kommentar

Azov Ransomware ist keine Ransomware. Es handelt sich in Wirklichkeit um einen sehr fortschrittlichen und gut geschriebenen Wiper, der so konzipiert ist, dass er das kompromittierte System, auf dem er läuft, zerstört. Wir haben die erste Tiefenanalyse der Malware durchgeführt, die ihre wahre Identität als Wiper beweist. Azov unterscheidet sich von gewöhnlichen Wipern dadurch, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen, und verwendet polymorphen Code, um von statischen Signaturen nicht entdeckt zu werden. Die Malware nutzt das SmokeLoader-Botnet und Trojaner zur Verbreitung. Dies ist eine der ernsteren Malware, vor der man sich in Acht nehmen muss, da sie in der Lage ist, das System und die Dateien unwiederherstellbar zu machen. (Eli Smadja, Leiter der Forschungsabteilung bei Check Point Software).

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


Passende Artikel zum Thema

KMU: Von Cyberrisiken bedroht

Cyberattacken sind eine Herausforderung für KMU. Weltweit ist ungefähr die Hälfte der KMU schon einmal Ziel einer solchen gewesen. T-Sicherheitsherausforderung ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

Finanzbranche kommt an der Cloud nicht vorbei

Obwohl in der Finanzbranche die Sicherheits-Anforderungen an Cloud-Computing besonders hoch sind, setzen immer mehr Finanzinstitute auf Cloud-Lösungen. Höhere Flexibilität, schlankere ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

Mehr Cyberangriffe auf kritische Infrastrukturen

Kritische Infrastrukturen rücken zunehmend in den Fokus von Cyberkriminellen. Mehr als die Hälfte der Angriffe gehen von staatsnahen Gruppierungen aus. ➡ Weiterlesen

Cyberangriff Südwestfalen-IT: 72 Kommunen weiterhin lahmgelegt

Bereits am 30.10.2023 erfolgte eine Cyberattacke mit Ransomware auf den IT-Dienstleister Südwestfalen-IT. Der Anbieter versorgt unter anderem 72 Kommunen mit ➡ Weiterlesen