El análisis técnico de Azov Ransomware demuestra que es un limpiador avanzado y no un ransomware. El malware es tan sofisticado que sobrescribe archivos más allá del reconocimiento.
En este contexto, Check Point Research observa una tendencia preocupante hacia el malware sofisticado destinado a destruir el sistema infectado y aconseja a las empresas que tomen las medidas adecuadas.
En octubre, el llamado "ransomware Azov" se propagó a través de software descifrado y pirateado y fingió cifrar los archivos de las víctimas. El malware se dirigía a las computadoras con Windows y solo pretendía ser un ransomware. En realidad, era un limpiador que, con su llamado enfoque de subprocesos múltiples, sobrescribía gradualmente los archivos en pequeños pasos, cada uno con 666 bytes de datos basura.
Dos versiones de "Azov Ransomware"
La comunidad de TI se dio cuenta por primera vez de Azov como una carga útil de la botnet SmokeLoader, que se encuentra comúnmente en software pirateado falso y sitios de descarga de software ilegal.
Azov se destaca de la multitud de incidentes de ransomware descubiertos recientemente al modificar ciertos programas de 64 bits para ejecutar su propio código. La modificación de archivos ejecutables se realiza con código polimórfico para evitar ser bloqueados o detectados por firmas estáticas y también se aplica a archivos de 64 bits, lo que no se le ocurriría al autor promedio de malware.
Cientos de nuevas muestras relacionadas con Azov se envían a VirusTotal todos los días y, en noviembre de 2022, el número ya superó las 17.000 XNUMX. Aunque aún no se conoce la motivación detrás de las acciones del actor de amenazas que distribuye Azov en la naturaleza, ahora está claro que Azov es un malware avanzado que tiene como objetivo destruir el sistema comprometido en el que se ejecuta.
En el análisis, CPR distinguió diferentes versiones de Azov, una más antigua y otra ligeramente más nueva. La mayoría de las características de las dos versiones son idénticas, pero la versión más nueva usa una nota de rescate diferente, así como una extensión de archivo diferente para los archivos corruptos que crea. Ambas versiones contienen diferentes cartas de chantaje que revelan ideas sobre la ideología de los perpetradores.
Mientras que la nota más antigua es más abstracta y describe situaciones generales de vida o muerte y sentimientos de destrucción y pérdida, la nota más reciente apunta directamente al conflicto ruso-ucraniano. Ella le indica a la víctima que "llame su atención sobre el problema" y señala que "Occidente no está ayudando lo suficiente a Ucrania".
Comentario
El ransomware Azov no es un ransomware. En realidad, es un limpiador muy avanzado y bien escrito, diseñado para destruir el sistema comprometido en el que se ejecuta. Realizamos el primer análisis en profundidad del malware, demostrando su verdadera identidad como limpiador. Azov se diferencia de los limpiaparabrisas ordinarios en que modifica ciertos programas de 64 bits para ejecutar su propio código y usa código polimórfico para evitar ser detectado por firmas estáticas. El malware utiliza la botnet SmokeLoader y troyanos para proliferar. Este es uno de los programas maliciosos más serios a tener en cuenta, ya que es capaz de hacer que el sistema y los archivos sean irrecuperables. (Eli Smadja, jefe de investigación de Check Point Software).
Más en Checkpoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.