Wiper
Check Point Analyse: Azov Ransomware entpuppt sich als polymorpher Wiper
Mehr ein fortschrittlicher Wiper als Ransomware
Check Point Research (CPR) veröffentlicht die erste technische Analyse von Azov Ransomware, die beweist, dass es sich um einen fortschrittlichen Wiper und nicht um Ransomware handelt. Die Malware ist so ausgeklügelt, dass sie Dateien bis zur Unkenntlichkeit überschreibt. CPR stellt in diesem Zusammenhang eine besorgniserregende Entwicklung hin zu hochentwickelter Malware fest, die darauf abzielt, das befallene System zu zerstören, und rät Unternehmen, entsprechende Maßnahmen zu ergreifen.
Im Oktober verbreitete sich die sogenannte „Azov Ransomware“ durch gecrackte und raubkopierte Software und gab vor, die Dateien der Opfer zu verschlüsseln. Die Malware zielte dabei auf Windows-Rechner und gab lediglich vor, Ransomware zu sein. Eigentlich handelte es sich dabei um einen Wiper, der mit seiner sogenannten Multi-Threaded-Vorgehensweise nach und nach Dateien kleinschrittig mit jeweils 666 Bytes an Datenmüll überschrieb.
CPR identifiziert zwei Versionen von „Azov Ransomware“.
Die IT-Community wurde erstmals auf Azov als Nutzlast des SmokeLoader-Botnets aufmerksam, das häufig in gefälschter raubkopierter Software und auf Seiten für illegale Software-Downloads zu finden ist. In den letzten Wochen hat Check Point Research (CPR) die vorläufigen Ergebnisse seiner Untersuchungen zur Azov-Ransomware in den sozialen Medien und mit Bleeping Computer geteilt.
Azov hebt sich von der Vielzahl der zuletzt entdeckten Ransomware-Vorfälle dadurch ab, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen. Die Modifizierung von ausführbaren Dateien erfolgt mit polymorphem Code, um nicht von statischen Signaturen blockiert oder erkannt zu werden, und wird auch auf 64-Bit-Dateien angewendet, was dem durchschnittlichen Malware-Autor nicht in den Sinn käme. Jeden Tag werden Hunderte neuer Azov-bezogener Proben an VirusTotal übermittelt, und im November 2022 waren es bereits mehr als 17.000. Obwohl noch nicht bekannt ist, welche Motivation hinter den Handlungen des Bedrohungsakteurs steckt, der Azov in freier Wildbahn verbreitet, ist jetzt klar, dass es sich bei Azov um eine fortschrittliche Malware handelt, die darauf abzielt, das kompromittierte System zu zerstören, auf dem sie ausgeführt wird.
In der Analyse hat CPR verschiedene Versionen von Azov unterschieden, eine ältere und eine etwas neuere. Die meisten Funktionen der beiden Versionen sind identisch, aber die neuere Version verwendet eine andere Lösegeldforderung sowie eine andere Dateierweiterung für die zerstörten Dateien, die sie erstellt. Beiden Versionen enthalten jeweils unterschiedliche Erpresserbriefe, die Einblicke in die Ideologie der Täter preisgeben.
Während die ältere Notiz eher abstrakt ist und allgemeine Situationen von Leben und Tod sowie Gefühle von Zerstörung und Verlust beschreibt, weist die neuere Notiz direkt auf den russisch-ukrainischen Konflikt hin. Sie weist das Opfer an, „Ihre Aufmerksamkeit auf das Problem zu lenken“, und weist darauf hin, dass „der Westen der Ukraine nicht genug hilft“.
Eli Smadja, Leiter der Forschungsabteilung bei Check Point Software , kommentiert:
„Azov Ransomware ist keine Ransomware. Es handelt sich in Wirklichkeit um einen sehr fortschrittlichen und gut geschriebenen Wiper, der so konzipiert ist, dass er das kompromittierte System, auf dem er läuft, zerstört. Wir haben die erste Tiefenanalyse der Malware durchgeführt, die ihre wahre Identität als Wiper beweist. Azov unterscheidet sich von gewöhnlichen Wipern dadurch, dass er bestimmte 64-Bit-Programme modifiziert, um seinen eigenen Code auszuführen, und verwendet polymorphen Code, um von statischen Signaturen nicht entdeckt zu werden. Die Malware nutzt das SmokeLoader-Botnet und Trojaner zur Verbreitung. Dies ist eine der ernsteren Malware, vor der man sich in Acht nehmen muss, da sie in der Lage ist, das System und die Dateien unwiederherstellbar zu machen.“
