A análise técnica do Azov Ransomware prova que é um limpador avançado e não um ransomware. O malware é tão sofisticado que substitui os arquivos irreconhecíveis.
Neste contexto, a Check Point Research observa uma tendência preocupante para malwares sofisticados destinados a destruir o sistema infectado e aconselha as empresas a tomarem as medidas adequadas.
Em outubro, o chamado "Azov ransomware" se espalhou por software crackeado e pirateado e fingiu criptografar os arquivos das vítimas. O malware visava computadores Windows e apenas fingia ser um ransomware. Na verdade, era um limpador que, com sua chamada abordagem multiencadeada, substituía gradualmente os arquivos em pequenas etapas, cada uma com 666 bytes de dados inúteis.
Duas versões de "Azov Ransomware"
A comunidade de TI primeiro tomou conhecimento do Azov como uma carga útil do botnet SmokeLoader, que é comumente encontrado em software pirata falso e sites de download de software ilegal.
O Azov se destaca na multidão de incidentes de ransomware descobertos recentemente, modificando certos programas de 64 bits para executar seu próprio código. A modificação de arquivos executáveis é feita com código polimórfico para evitar ser bloqueado ou detectado por assinaturas estáticas e também é aplicado a arquivos de 64 bits, o que não ocorreria ao autor de malware médio.
Centenas de novas amostras relacionadas ao Azov são enviadas ao VirusTotal todos os dias e, em novembro de 2022, o número já ultrapassou 17.000. Embora a motivação por trás das ações do agente da ameaça que distribui o Azov em estado selvagem ainda não seja conhecida, agora está claro que o Azov é um malware avançado que visa destruir o sistema comprometido no qual é executado.
Na análise, o CPR distinguiu diferentes versões do Azov, uma mais antiga e outra ligeiramente mais recente. A maioria dos recursos das duas versões são idênticos, mas a versão mais recente usa uma nota de resgate diferente, bem como uma extensão de arquivo diferente para os arquivos corrompidos que ela cria. Ambas as versões contêm diferentes cartas de chantagem que revelam insights sobre a ideologia dos perpetradores.
Enquanto a nota mais antiga é mais abstrata, descrevendo situações gerais de vida e morte e sentimentos de destruição e perda, a nota mais recente aponta diretamente para o conflito russo-ucraniano. Ela instrui a vítima a "chamar sua atenção para o problema" e aponta que "o Ocidente não está ajudando a Ucrânia o suficiente".
comentário
Azov ransomware não é ransomware. Na verdade, é um limpador muito avançado e bem escrito, projetado para destruir o sistema comprometido em que está sendo executado. Realizamos a primeira análise aprofundada do malware, provando sua verdadeira identidade como um limpador. O Azov difere dos limpadores comuns porque modifica certos programas de 64 bits para executar seu próprio código e usa código polimórfico para evitar ser detectado por assinaturas estáticas. O malware usa o botnet SmokeLoader e cavalos de Tróia para se proliferar. Este é um dos malwares mais graves para se ter cuidado, pois é capaz de tornar o sistema e os arquivos irrecuperáveis. (Eli Smadja, chefe de pesquisa da Check Point Software).
Mais em Checkpoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.