Технічний аналіз Azov Ransomware доводить, що це просунутий очисник, а не програма-вимагач. Зловмисне програмне забезпечення настільки складне, що перезаписує файли до невпізнання.
У цьому контексті Check Point Research відзначає тривожну тенденцію до використання складних шкідливих програм, спрямованих на знищення зараженої системи, і рекомендує компаніям вжити відповідних заходів.
У жовтні так зване «програмне забезпечення-вимагач Azov» поширювалося через зламане та піратське програмне забезпечення та нібито шифрувало файли жертв. Зловмисне програмне забезпечення було націлено на комп’ютери Windows і лише видавало себе за програму-вимагач. Насправді це був очисник, який завдяки так званому багатопоточному підходу поступово перезаписував файли невеликими кроками, кожен з яких містив 666 байт сміттєвих даних.
Дві версії «Azov Ransomware»
ІТ-спільноті вперше стало відомо про Azov як корисне навантаження ботнету SmokeLoader, який зазвичай зустрічається у підробленому піратському програмному забезпеченні та на сайтах нелегального завантаження ПЗ.
Azov виділяється серед безлічі нещодавно виявлених інцидентів з програмами-вимагачами, модифікуючи певні 64-розрядні програми для запуску власного коду. Модифікація виконуваних файлів виконується за допомогою поліморфного коду, щоб уникнути блокування або виявлення за допомогою статичних підписів, а також застосовується до 64-розрядних файлів, що не прийде в голову пересічному автору зловмисного програмного забезпечення.
Щодня до VirusTotal надходять сотні нових проб, пов’язаних з Азовом, і станом на листопад 2022 року їх кількість уже перевищила 17.000 тисяч. Хоча мотивація дій зловмисника, який розповсюджує Azov у дикій природі, ще невідома, тепер зрозуміло, що Azov — це вдосконалене шкідливе програмне забезпечення, яке спрямоване на знищення скомпрометованої системи, на якій воно працює.
Під час аналізу CPR виділив різні версії «Азова», одну старішу й одну трохи новішу. Більшість функцій обох версій ідентичні, але нова версія використовує іншу записку про викуп, а також інше розширення файлу для пошкоджених файлів, які вона створює. Обидві версії містять різні шантажні листи, які розкривають ідеологію злочинців.
У той час як старіша замітка є більш абстрактною, описуючи загальні ситуації життя та смерті та відчуття руйнування та втрати, новіша замітка прямо вказує на російсько-український конфлікт. Вона наказує потерпілому «звернути вашу увагу на проблему» і вказує, що «Захід недостатньо допомагає Україні».
коментар
Програма-вимагач Azov не є програмою-вимагачем. Насправді це дуже просунутий і добре написаний очищувач, призначений для знищення скомпрометованої системи, на якій він працює. Ми провели перший глибокий аналіз зловмисного програмного забезпечення, довівши його справжню ідентичність як склоочисник. Azov відрізняється від звичайних склоочисників тим, що він модифікує певні 64-розрядні програми для запуску власного коду та використовує поліморфний код, щоб уникнути виявлення за статичними сигнатурами. Зловмисне програмне забезпечення використовує ботнет SmokeLoader і троянів для поширення. Це одне з найсерйозніших шкідливих програм, яких слід остерігатися, оскільки воно здатне зробити систему та файли невідновними. (Елі Смаджа, керівник відділу досліджень Check Point Software).
Більше на Checkpoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.