Azov Ransomware のテクニカル分析は、これが高度なワイパーであり、ランサムウェアではないことを証明しています。 このマルウェアは非常に洗練されているため、認識できないほどファイルを上書きします。
これに関連して、Check Point Research は、感染したシステムを破壊することを目的とした高度なマルウェアに対する憂慮すべき傾向に注目し、企業に適切な対策を講じるようアドバイスしています。
666 月には、いわゆる「Azov ランサムウェア」が、クラックされたソフトウェアや海賊版ソフトウェアを通じて拡散し、被害者のファイルを暗号化するふりをしました。 マルウェアは Windows コンピュータを標的とし、ランサムウェアのふりをしただけでした。 実際には、いわゆるマルチスレッド アプローチを使用して、それぞれ XNUMX バイトのガベージ データでファイルを小さなステップで徐々に上書きするワイパーでした。
「Azov ランサムウェア」の XNUMX つのバージョン
IT コミュニティは、偽の海賊版ソフトウェアや違法なソフトウェア ダウンロード サイトでよく見られる SmokeLoader ボットネットのペイロードとして Azov を最初に認識しました。
Azov は、特定の 64 ビット プログラムを変更して独自のコードを実行することで、最近発見された多数のランサムウェア インシデントから際立っています。 実行可能ファイルの変更は、静的シグネチャによるブロックまたは検出を回避するためにポリモーフィック コードを使用して行われ、64 ビット ファイルにも適用されますが、これは平均的なマルウェア作成者には思い浮かびません。
VirusTotal には毎日数百件の Azov 関連の新しいサンプルが提出されており、2022 年 17.000 月の時点で、その数はすでに XNUMX 件を超えています。 Azov を実際に配布する脅威アクターの行動の背後にある動機はまだわかっていませんが、Azov が、侵害されたシステムを破壊することを目的とした高度なマルウェアであることが明らかになりました。
分析では、CPR は Azov の異なるバージョンを識別しました。XNUMX つは古いバージョンで、もう XNUMX つは少し新しいバージョンです。 XNUMX つのバージョンのほとんどの機能は同じですが、新しいバージョンでは別の身代金メモが使用され、作成される破損ファイルのファイル拡張子も異なります。 どちらのバージョンにも、加害者のイデオロギーへの洞察を明らかにするさまざまな恐喝の手紙が含まれています。
古いメモはより抽象的で、生と死の一般的な状況と破壊と喪失の感情を説明していますが、最近のメモはロシアとウクライナの紛争を直接指しています。 彼女は被害者に「問題に注意を向ける」よう指示し、「西側諸国はウクライナを十分に支援していない」と指摘した.
コメント
Azov ランサムウェアはランサムウェアではありません。 これは実際には、感染したシステムを破壊するように設計された非常に高度でよくできたワイパーです。 マルウェアの最初の詳細な分析を実行し、その正体がワイパーであることを証明しました。 Azov は、特定の 64 ビット プログラムを変更して独自のコードを実行し、ポリモーフィック コードを使用して静的シグネチャによる検出を回避するという点で、通常のワイパーとは異なります。 このマルウェアは、SmokeLoader ボットネットとトロイの木馬を使用して増殖します。 これは、システムとファイルを回復不能にする可能性があるため、注意が必要な深刻なマルウェアの XNUMX つです。 (Eli Smadja、チェック ポイント ソフトウェアの研究責任者)。
詳細は Checkpoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。