Azov Fidye Yazılımı teknik analizi, bunun fidye yazılımı değil, gelişmiş bir silici olduğunu kanıtlıyor. Kötü amaçlı yazılım o kadar karmaşıktır ki dosyaları tanınmayacak şekilde üzerine yazar.
Bu bağlamda Check Point Research, virüslü sistemi yok etmeyi amaçlayan karmaşık kötü amaçlı yazılımlara yönelik endişe verici bir eğilime dikkat çekiyor ve şirketlere uygun önlemleri almalarını tavsiye ediyor.
Ekim ayında, sözde "Azov fidye yazılımı", crackli ve korsan yazılımlar aracılığıyla yayıldı ve kurbanların dosyalarını şifreliyormuş gibi yaptı. Kötü amaçlı yazılım, Windows bilgisayarlarını hedef aldı ve yalnızca fidye yazılımı gibi davrandı. Aslında, sözde çok iş parçacıklı yaklaşımıyla, her biri 666 bayt çöp verisi içeren küçük adımlarla dosyaların üzerine kademeli olarak yazan bir siliciydi.
"Azov Fidye Yazılımı"nın iki versiyonu
BT topluluğu, Azov'un ilk olarak sahte korsan yazılımlarda ve yasa dışı yazılım indirme sitelerinde yaygın olarak bulunan SmokeLoader botnet'in bir yükü olduğunu fark etti.
Azov, belirli 64 bit programları kendi kodunu çalıştıracak şekilde değiştirerek, yakın zamanda keşfedilen çok sayıda fidye yazılımı olayından sıyrılıyor. Yürütülebilir dosyaların değiştirilmesi, statik imzalar tarafından engellenmeyi veya algılanmayı önlemek için polimorfik kodla yapılır ve ortalama bir kötü amaçlı yazılım yazarının başına gelmeyecek olan 64 bit dosyalara da uygulanır.
Her gün Azov ile ilgili yüzlerce yeni örnek VirusTotal'a gönderiliyor ve Kasım 2022 itibarıyla sayı şimdiden 17.000'i aştı. Azov'u vahşi ortamda dağıtan tehdit aktörünün eylemlerinin ardındaki motivasyon henüz bilinmese de, Azov'un üzerinde çalıştığı güvenliği ihlal edilmiş sistemi yok etmeyi amaçlayan gelişmiş bir kötü amaçlı yazılım olduğu artık açık.
Analizde CPR, Azak'ın farklı versiyonlarını ayırt etti, biri daha eski diğeri biraz daha yeni. İki sürümün özelliklerinin çoğu aynıdır, ancak daha yeni sürüm, oluşturduğu bozuk dosyalar için farklı bir fidye notu ve farklı bir dosya uzantısı kullanır. Her iki versiyon da faillerin ideolojisine dair içgörüleri ortaya çıkaran farklı şantaj mektupları içeriyor.
Eski not daha soyutken, genel yaşam ve ölüm durumlarını ve yıkım ve kayıp duygularını tanımlarken, daha yeni not doğrudan Rus-Ukrayna çatışmasına işaret ediyor. Kurbana "dikkatinizi soruna çekmesi" talimatını veriyor ve "Batı'nın Ukrayna'ya yeterince yardım etmediğine" işaret ediyor.
Yorumlamak
Azov fidye yazılımı fidye yazılımı değildir. Aslında, üzerinde çalıştığı güvenliği ihlal edilmiş sistemi yok etmek için tasarlanmış çok gelişmiş ve iyi yazılmış bir silicidir. Kötü amaçlı yazılımın ilk derinlemesine analizini gerçekleştirdik ve gerçek kimliğini bir silici olarak kanıtladık. Azov, belirli 64-bit programları kendi kodunu çalıştıracak şekilde değiştirmesi ve statik imzalar tarafından algılanmamak için polimorfik kod kullanması bakımından sıradan silicilerden farklıdır. Kötü amaçlı yazılım, çoğalmak için SmokeLoader botnet'i ve Truva atlarını kullanır. Bu, sistemi ve dosyaları kurtarılamaz hale getirebildiği için dikkat edilmesi gereken daha ciddi kötü amaçlı yazılımlardan biridir. (Eli Smadja, Check Point Software'de Araştırma Başkanı).
Daha fazlası Checkpoint.com'da
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.