L'analyse technique d'Azov Ransomware prouve qu'il s'agit d'un essuie-glace avancé et non d'un ransomware. Le malware est si sophistiqué qu'il écrase les fichiers au-delà de la reconnaissance.
Dans ce contexte, Check Point Research note une tendance inquiétante vers des logiciels malveillants sophistiqués visant à détruire le système infecté et conseille aux entreprises de prendre les mesures appropriées.
En octobre, le soi-disant "Azov ransomware" s'est propagé via des logiciels piratés et a fait semblant de crypter les fichiers des victimes. Le logiciel malveillant ciblait les ordinateurs Windows et prétendait uniquement être un logiciel de rançon. Il s'agissait en fait d'un essuie-glace qui, avec son approche dite multi-thread, écrasait progressivement les fichiers par petites étapes, chacune avec 666 octets de données inutiles.
Deux versions de "Azov Ransomware"
La communauté informatique a d'abord pris connaissance d'Azov en tant que charge utile du botnet SmokeLoader, que l'on trouve couramment dans les faux logiciels piratés et les sites de téléchargement de logiciels illégaux.
Azov se démarque de la multitude d'incidents de rançongiciels récemment découverts en modifiant certains programmes 64 bits pour exécuter son propre code. La modification des fichiers exécutables est effectuée avec un code polymorphe pour éviter d'être bloqué ou détecté par des signatures statiques et est également appliquée aux fichiers 64 bits, ce qui ne se produirait pas pour l'auteur moyen de logiciels malveillants.
Des centaines de nouveaux échantillons liés à Azov sont soumis chaque jour à VirusTotal, et en novembre 2022, le nombre a déjà dépassé 17.000 XNUMX. Bien que la motivation derrière les actions de l'acteur menaçant distribuant Azov dans la nature ne soit pas encore connue, il est maintenant clair qu'Azov est un malware avancé qui vise à détruire le système compromis sur lequel il s'exécute.
Dans l'analyse, CPR a distingué différentes versions d'Azov, une plus ancienne et une légèrement plus récente. La plupart des fonctionnalités des deux versions sont identiques, mais la nouvelle version utilise une note de rançon différente ainsi qu'une extension de fichier différente pour les fichiers corrompus qu'elle crée. Les deux versions contiennent différentes lettres de chantage qui révèlent un aperçu de l'idéologie des auteurs.
Alors que la note la plus ancienne est plus abstraite, décrivant des situations générales de vie et de mort et des sentiments de destruction et de perte, la note la plus récente pointe directement vers le conflit russo-ukrainien. Elle ordonne à la victime "d'attirer votre attention sur le problème" et souligne que "l'Occident n'aide pas assez l'Ukraine".
Commentaire
Le ransomware Azov n'est pas un ransomware. Il s'agit en fait d'un essuie-glace très avancé et bien écrit conçu pour détruire le système compromis sur lequel il s'exécute. Nous avons effectué la première analyse approfondie du logiciel malveillant, prouvant sa véritable identité en tant qu'essuie-glace. Azov diffère des essuie-glaces ordinaires en ce qu'il modifie certains programmes 64 bits pour exécuter son propre code et utilise un code polymorphe pour éviter d'être détecté par des signatures statiques. Le malware utilise le botnet SmokeLoader et les chevaux de Troie pour proliférer. Il s'agit de l'un des logiciels malveillants les plus graves dont il faut se méfier car il est capable de rendre le système et les fichiers irrécupérables. (Eli Smadja, responsable de la recherche chez Check Point Software).
Plus sur Checkpoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.