Εντοπίστηκε ένα νέο είδος malware, με το όνομα Azov Wiper ή Azon Ransomware, το οποίο καταστρέφει δεδομένα με ασύλληπτο ρυθμό!
Το Wiper malware είναι η τελευταία μορφή κακόβουλου λογισμικού που κερδίζει γρήγορα έδαφος μεταξύ των εγκληματιών του κυβερνοχώρου. Στοχεύει υπολογιστές και διακομιστές, διαγράφοντας δεδομένα με τρόπο αποτελεσματικό και γρήγορο, χωρίς να αφήνει καμία πιθανότητα ανάκτησης. Το ransomware Azov είναι ένα παράδειγμα κακόβουλου λογισμικού wiper, καταστρέφοντας δεδομένα 666 bytes κάθε φορά.
Τη Δευτέρα, η Check Point Research αποκάλυψε το Azov Wiper – ένα γρήγορο και ισχυρό πρόγραμμα καθαρισμού δεδομένων που δυστυχώς δεν μπορεί να ανακτηθεί. Αυτό το κάνει αντικαθιστώντας αρχεία σε μπλοκ των 666 bytes με τυχαία δεδομένα, ενώ αφήνει ανέπαφο ένα μπλοκ ίδιου μεγέθους. Κατά τη διαδικασία αυτή χρησιμοποιεί τη μη αρχικοποιημένη τοπική μεταβλητή char buffer[666]. Εντυπωσιακό και ταυτόχρονα ανησυχητικό!
Δείτε επίσης: Η ομάδα APT37 χρησιμοποιεί ένα Internet Explorer zero-day και διασπείρει malware
Αφού καταστρέψει τα δεδομένα στους πληγέντες υπολογιστές, το Azov Wiper εμφανίζει ένα σημείωμα με περιεχόμενο παρόμοιο με αυτό άλλων ανακοινώσεων ransomware. Αυτό το απειλητικό μήνυμα απηχεί συγκεκριμένα τα συναισθήματα από το Κρεμλίνο όσον αφορά τον συνεχιζόμενο πόλεμο εναντίον της Ουκρανίας και φέρεται να απειλεί με πυρηνικά πλήγματα. Σύμφωνα με ένα από τα δύο δείγματα που ανέκτησε η Check Point, αυτό το εκφοβιστικό κείμενο αποδόθηκε ψευδώς από έναν διάσημο αναλυτή κακόβουλου λογισμικού που κατάγεται από την Πολωνία.
Παρά το νεαρό της ηλικίας των δημιουργών του, το Azov είναι ένας εξαιρετικά εξελιγμένος ιός. Ανταποκρίνεται στον αρχικό ορισμό ενός ιού υπολογιστών, καθώς τροποποιεί αρχεία προσθέτοντας πολυμορφικό κώδικα σε εκτελέσιμα αρχεία 64-bit backdoor και κάνοντας επίθεση στο μολυσμένο σύστημα. Για τη συγγραφή αυτού του κακόβουλου λογισμικού χρησιμοποιήθηκε η Assembly, μια πολύπλοκη αλλά αποτελεσματική γλώσσα χαμηλού επιπέδου, η οποία καθιστά πιο επιτυχημένο το backdooring. Επιπλέον, το Azov Wiper χρησιμοποιεί διάφορες μεθόδους όπως ο πολυμορφικός κώδικας για να κάνει την ανίχνευση και την ανάλυση πιο δύσκολη από ό,τι συνήθως για τους ερευνητές ασφαλείας.
Ο ερευνητής της Check Point, Jiri Vinopal, παρατήρησε ότι ενώ το δείγμα Azov Wiper θεωρήθηκε αρχικά ως skidsware, καθώς γινόταν περισσότερη έρευνα, έγινε φανερό ότι χρησιμοποιούνταν πολύ προηγμένες τεχνικές – συμπεριλαμβανομένης της χειροκίνητης δημιουργίας assembly, της χρήσης payload σε εκτελέσιμα αρχεία για σκοπούς back-dooring και τεχνάσματα αντι-ανάλυσης που συνήθως συναντάμε σε βιβλία ασφαλείας ή σε διαβόητα επώνυμα εργαλεία ηλεκτρονικού εγκλήματος. Κατέληξε δηλώνοντας ότι το ransomware Azov θα πρέπει σίγουρα να παρουσιάζει αυξημένο επίπεδο δυσκολίας σε σύγκριση με άλλα δείγματα κακόβουλου λογισμικού που έχουν συναντήσει.
Δείτε επίσης: Η Rackspace προειδοποιεί για άνοδο των επιθέσεων phishing
Το Azov δεν είναι ένα συνηθισμένο κακόβουλο λογισμικό. Προγραμματισμένο με μια λογική βόμβα, εκρήγνυται όταν φτάσει η προκαθορισμένη ώρα και εξαφανίζει κάθε κατάλογο αρχείων εκτός από αυτούς που καθορίζονται από τις σκληρά κωδικοποιημένες διαδρομές συστήματος και τις επεκτάσεις του. Με περισσότερα από 17.000 backdoored εκτελέσιμα αρχεία που αναφέρθηκαν στο VirusTotal τον περασμένο μήνα, αυτό το ύπουλο malware βρίσκεται σε καλό δρόμο για να γίνει ευρέως διαδεδομένος σε όλο τον κυβερνοχώρο.
Την περασμένη Τετάρτη, οι ερευνητές ασφαλείας της ESET αποκάλυψαν δύο νέα καταστροφικά κακόβουλα προγράμματα με την ονομασία Fantasy και Sandals. Το κακόβουλο λογισμικό εξαπλώθηκε μέσω μιας επίθεσης αλυσίδας εφοδιασμού που εκμεταλλεύτηκε την υποδομή μιας ισραηλινής εταιρείας λογισμικού που χρησιμοποιείται στη βιομηχανία διαμαντιών. Σε λιγότερο από τρεις ώρες, τα Fantasy και Sandals διείσδυσαν σε πελάτες που ήταν συνδεδεμένοι με υπηρεσίες ανθρώπινου δυναμικού, υπηρεσίες υποστήριξης πληροφορικής, καθώς και σε επιχειρήσεις χονδρικής πώλησης διαμαντιών με έδρα τη Νότια Αφρική, το Ισραήλ και το Χονγκ Κονγκ. Το ίδιο εύκολα θα μπορούσε να διεισδύσει και το Azov Wiper.
Αντλώντας από τον κώδικα του Apostle, το Fantasy αρχικά εμφανίστηκε ως ransomware πριν αποκαλυφθεί ότι είναι ένα wiper. Επιπλέον, η επαναχρησιμοποίηση του κώδικα οδήγησε την ESET να πιστέψει ότι τόσο το Fantasy όσο και το Sandals είχαν δεσμούς με την Agrius – μια ομάδα με έδρα το Ιράν που βρίσκεται στη Μέση Ανατολή.
Παρόλο που δεν μπορούμε να προσδιορίσουμε με ακρίβεια το κίνητρο πίσω από αυτό το κακόβουλο λογισμικό, είναι ασφαλές να υποθέσουμε ότι κανένας από τους ανθρώπους ή τους οργανισμούς που αναφέρονται στο σημείωμα λύτρων δεν είχε καμία ανάμειξη στη δημιουργία του. Πρέπει να ξεκαθαρίσουμε ότι καμία καλή πρόθεση δεν ήταν εμφανής κατά τη δημιουργία αυτού του ransomware. Αν κάποιος υπέθετε απλώς ότι είναι η συνέπεια ενός ασταθούς ατόμου, θα είχε δίκιο.Ωστόσο, αν κάποιος ήθελε να το χρησιμοποιήσει σκόπιμα για να προκαλέσει οργή κατά της Ουκρανίας και να προκαλέσει μεγαλύτερη ζημιά στα θύματά της, υπάρχουν πολλές αποδείξεις γι’ αυτό. Ο αριθμός των δειγμάτων που σχετίζονται με το Azov Wiper και έχουν ήδη εντοπιστεί έχει πολλαπλασιαστεί τόσο πολύ που οποιοσδήποτε αρχικός στόχος θα μπορούσε να έχει καλυφθεί από τυχαίες μολύνσεις εδώ και πολύ καιρό.
Πηγή: arstechnica.com
