Azov-Ransomware als Wiper identifiziert

Azov-Ransomware als Wiper identifiziert

Beitrag teilen

Die technische Analyse von Azov Ransomware beweist, dass es sich um einen fortschrittlichen Wiper und nicht um Ransomware handelt. Die Malware ist so ausgeklügelt, dass sie Dateien bis zur Unkenntlichkeit überschreibt.

Check Point Research stellt in diesem Zusammenhang eine besorgniserregende Entwicklung hin zu hochentwickelter Malware fest, die darauf abzielt, das befallene System zu zerstören, und rät Unternehmen, entsprechende Maßnahmen zu ergreifen.

Anzeige

Im Oktober verbreitete sich die sogenannte „Azov Ransomware“ durch gecrackte und raubkopierte Software und gab vor, die Dateien der Opfer zu verschlüsseln. Die Malware zielte dabei auf Windows-Rechner und gab lediglich vor, Ransomware zu sein. Eigentlich handelte es sich dabei um einen Wiper, der mit seiner sogenannten Multi-Threaded-Vorgehensweise nach und nach Dateien kleinschrittig mit jeweils 666 Bytes an Datenmüll überschrieb.

Zwei Versionen von „Azov Ransomware“

Die IT-Community wurde erstmals auf Azov als Nutzlast des SmokeLoader-Botnets aufmerksam, das häufig in gefälschter raubkopierter Software und auf Seiten für illegale Software-Downloads zu finden ist.

Azov hebt sich von der Vielzahl der zuletzt entdeckten Ransomware-Vorfälle dadurch ab, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen. Die Modifizierung von ausführbaren Dateien erfolgt mit polymorphem Code, um nicht von statischen Signaturen blockiert oder erkannt zu werden, und wird auch auf 64-Bit-Dateien angewendet, was dem durchschnittlichen Malware-Autor nicht in den Sinn käme.

Jeden Tag werden Hunderte neuer Azov-bezogener Proben an VirusTotal übermittelt, und im November 2022 waren es bereits mehr als 17.000. Obwohl noch nicht bekannt ist, welche Motivation hinter den Handlungen des Bedrohungsakteurs steckt, der Azov in freier Wildbahn verbreitet, ist jetzt klar, dass es sich bei Azov um eine fortschrittliche Malware handelt, die darauf abzielt, das kompromittierte System zu zerstören, auf dem sie ausgeführt wird.

In der Analyse hat CPR verschiedene Versionen von Azov unterschieden, eine ältere und eine etwas neuere. Die meisten Funktionen der beiden Versionen sind identisch, aber die neuere Version verwendet eine andere Lösegeldforderung sowie eine andere Dateierweiterung für die zerstörten Dateien, die sie erstellt. Beiden Versionen enthalten jeweils unterschiedliche Erpresserbriefe, die Einblicke in die Ideologie der Täter preisgeben.

Während die ältere Notiz eher abstrakt ist und allgemeine Situationen von Leben und Tod sowie Gefühle von Zerstörung und Verlust beschreibt, weist die neuere Notiz direkt auf den russisch-ukrainischen Konflikt hin. Sie weist das Opfer an, „Ihre Aufmerksamkeit auf das Problem zu lenken“, und weist darauf hin, dass „der Westen der Ukraine nicht genug hilft“.

Kommentar

Azov Ransomware ist keine Ransomware. Es handelt sich in Wirklichkeit um einen sehr fortschrittlichen und gut geschriebenen Wiper, der so konzipiert ist, dass er das kompromittierte System, auf dem er läuft, zerstört. Wir haben die erste Tiefenanalyse der Malware durchgeführt, die ihre wahre Identität als Wiper beweist. Azov unterscheidet sich von gewöhnlichen Wipern dadurch, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen, und verwendet polymorphen Code, um von statischen Signaturen nicht entdeckt zu werden. Die Malware nutzt das SmokeLoader-Botnet und Trojaner zur Verbreitung. Dies ist eine der ernsteren Malware, vor der man sich in Acht nehmen muss, da sie in der Lage ist, das System und die Dateien unwiederherstellbar zu machen. (Eli Smadja, Leiter der Forschungsabteilung bei Check Point Software).

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


Passende Artikel zum Thema

Report 2024: Phishing und genAI nehmen zu

Der Cloud & Threat Report 2024 zeigt, dass Mitarbeiter dreimal häufiger auf Phishing-Links geklickt haben als 2023. Er deckt wachsende ➡ Weiterlesen

IoT- und OT-Sicherheit 2025

Cybersecurity-Experten erwarten in diesem Jahr eine Zunahme der Angriffe auf kritische Infrastrukturen und auf die Produktionsindustrie. Vor allem Organisationen, mit ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Cybersicherheit: Darauf müssen KRITIS-Unternehmen achten

In 2024 war NIS2 ein großes Thema im Bereich der Cybersicherheit. Und auch in 2025 und den kommenden Jahren wird ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Trends 2025: Industrie setzt auf die Cloud

Ein Experte für die Sicherheit cyber-physischer Systeme zeigt drei Trends für 2025 auf: NIS2 wird das Bewusstsein für Cyersicherheit weiter ➡ Weiterlesen

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen