L'analisi tecnica di Azov Ransomware dimostra che si tratta di un tergicristallo avanzato e non di un ransomware. Il malware è così sofisticato che sovrascrive i file rendendoli irriconoscibili.
In questo contesto, Check Point Research rileva una preoccupante tendenza verso malware sofisticati volti a distruggere il sistema infetto e consiglia alle aziende di adottare misure adeguate.
A ottobre, il cosiddetto "Azov ransomware" si è diffuso attraverso software crackato e piratato e ha finto di crittografare i file delle vittime. Il malware prendeva di mira i computer Windows e fingeva solo di essere un ransomware. In realtà era un tergicristallo che, con il suo cosiddetto approccio multi-thread, sovrascriveva gradualmente i file a piccoli passi, ciascuno con 666 byte di dati spazzatura.
Due versioni di "Azov Ransomware"
La comunità IT è venuta a conoscenza per la prima volta di Azov come payload della botnet SmokeLoader, che si trova comunemente in falsi software piratati e siti di download di software illegali.
Azov si distingue dalla moltitudine di incidenti ransomware scoperti di recente modificando alcuni programmi a 64 bit per eseguire il proprio codice. La modifica dei file eseguibili viene eseguita con codice polimorfico per evitare di essere bloccata o rilevata da firme statiche e viene applicata anche ai file a 64 bit, cosa che non verrebbe in mente all'autore medio di malware.
Centinaia di nuovi campioni relativi ad Azov vengono inviati a VirusTotal ogni giorno e, a novembre 2022, il numero ha già superato i 17.000. Sebbene la motivazione alla base delle azioni dell'attore della minaccia che distribuisce Azov in the wild non sia ancora nota, è ormai chiaro che Azov è un malware avanzato che mira a distruggere il sistema compromesso su cui viene eseguito.
Nell'analisi, CPR ha distinto diverse versioni di Azov, una più vecchia e una leggermente più recente. La maggior parte delle funzionalità delle due versioni sono identiche, ma la versione più recente utilizza una richiesta di riscatto diversa e un'estensione di file diversa per i file danneggiati che crea. Entrambe le versioni contengono diverse lettere di ricatto che rivelano intuizioni sull'ideologia degli autori.
Mentre la nota più antica è più astratta, descrivendo situazioni generali di vita e morte e sentimenti di distruzione e perdita, la nota più recente punta direttamente al conflitto russo-ucraino. Incarica la vittima di "richiamare la tua attenzione sul problema" e sottolinea che "l'Occidente non sta aiutando abbastanza l'Ucraina".
Commento
Azov ransomware non è un ransomware. In realtà è un tergicristallo molto avanzato e ben scritto progettato per distruggere il sistema compromesso su cui è in esecuzione. Abbiamo eseguito la prima analisi approfondita del malware, dimostrando la sua vera identità di tergicristallo. Azov differisce dai normali wiper in quanto modifica determinati programmi a 64 bit per eseguire il proprio codice e utilizza codice polimorfico per evitare di essere rilevato da firme statiche. Il malware utilizza la botnet SmokeLoader e i trojan per proliferare. Questo è uno dei malware più seri di cui fare attenzione in quanto è in grado di rendere irrecuperabili il sistema e i file. (Eli Smadja, responsabile della ricerca presso Check Point Software).
Maggiori informazioni su Checkpoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.