Un ransomware de limpieza de datos emergente conocido como Azov, que llamó la atención por primera vez como una carga útil entregada por el botnet SmokeLoader, se está generalizando cada vez más y parece estar en camino de convertirse en una amenaza activa y peligrosa, según los investigadores de Check Point.
Azov se diferencia de las formas de ransomware más comunes porque es capaz de modificar ciertos ejecutables de 64 bits para ejecutar su propio código, explicó el investigador de Check Point, Jiří Vinopal, quien dijo que esta función se remonta a un tipo de malware más antiguo. .
“Antes del advenimiento de Internet de hoy en día, este comportamiento solía ser el camino real para la proliferación de malware; Debido a esto, hasta el día de hoy, sigue siendo la definición de libro de texto de ‘virus informático’, un hecho muy apreciado por los pedantes de la industria e igualmente resentido por todos los demás”, dijo Vinopal en su artículo.
“La modificación de los ejecutables se realiza mediante código polimórfico, para que no se vea frustrada por las firmas estáticas, y también se aplica a los ejecutables de 64 bits, con los que el autor de malware promedio no se habría molestado”.
La agresiva infección polimórfica de los ejecutables de las víctimas por parte de Azov ha resultado en una avalancha de archivos infectados disponibles públicamente, dijo Vinopal, y VirusTotal recibe cientos de envíos diariamente; ya tiene 17,000 muestras.
Vinopal describió a Azov como un borrador de datos “rápido, efectivo y lamentablemente irrecuperable” que funciona por medio de una bomba lógica, que detona en un momento específico para borrar los archivos de sus víctimas.
Esta proliferación de muestras permitió a Vinopal y su equipo identificar dos tipos diferentes de Azov con diferentes notas de rescate y diferentes extensiones de archivo para los archivos que destruye.
La nueva versión explota una serie de temas de conversación a favor de Ucrania para intentar que las víctimas en Occidente presionen a sus gobiernos para que aumenten la ayuda militar a Ucrania, diciendo que de no hacerlo se corre el riesgo de una guerra nuclear.
El nombre Azov probablemente refleja la postura pro-Ucrania de sus creadores desconocidos, ya que Azov es tanto la zona norte del Mar Negro que separa a Crimea de la Rusia continental como una brigada paramilitar de las fuerzas armadas ucranianas supuestamente vinculada a la extrema derecha. Grupos neonazis.
La nota también intenta enmarcar a una serie de personas de alto perfil en la comunidad de seguridadtanto como computadora pitido.
La nota de rescate más antigua es bastante más poética y, por razones desconocidas, parece basarse ampliamente en La evolución de la confianzaun juego web interactivo de 2017 que explora cómo la teoría del juego se puede aplicar a la confianza interpersonal.
“Azov es un malware avanzado diseñado para destruir el sistema comprometido”
Jiří Vinopal, Check Point
Vinopal dijo que aunque la naturaleza de la nota de rescate no convencional de Azov había hecho que algunos la consideraran un software fraudulento al principio, de hecho demostró técnicas muy avanzadas y trucos contra el análisis que suelen ser el ámbito de las operaciones de delitos cibernéticos de renombre, que “deberían para darle al típico ingeniero inverso un tiempo más difícil que el malware promedio”.
Vinopal dijo que en realidad no era posible atribuir un motivo a la producción y difusión de Azov. “Uno podría simplemente descartarlo como las acciones de un individuo perturbado; aunque si uno quisiera ver esto como una bandera falsa atroz destinada a incitar la ira contra Ucrania y a las víctimas de los trolls en general, ciertamente también tendrían mucha evidencia para esa hipótesis”, escribió.
“La cantidad de muestras relacionadas con Azov ya detectadas es tan grande que si alguna vez hubo un objetivo original, hace mucho que se perdió en el ruido de las infecciones indiscriminadas. Lo único que podemos decir con certeza, y lo que ha sido confirmado por todo este análisis, es que Azov es un malware avanzado diseñado para destruir el sistema comprometido”.
El uso de malware de limpiaparabrisas por parte de actores maliciosos se disparó en 2022, con un vínculo claro demostrado con la guerra de Rusia contra Ucrania. Al comienzo del conflicto en febrero y marzo de 2022, los investigadores identificaron múltiples programas maliciosos de este tipo con nombres como WhisperGate, HermeticWiper, IsaacWiper y CaddyWiper que se estaban desplegando contra objetivos en Ucrania, presumiblemente por parte de operadores rusos.
Azov, a fuerza de su postura pro-Ucrania y apuntando a organizaciones en países que apoyan la lucha de Kyiv, parecería marcar una desviación de esta tendencia y una escalada en el uso de este tipo de malware, siendo el objetivo de un malware destructivo no interrumpir su víctima, sino destruir por completo la tecnología que respalda las funciones comerciales críticas.
Como tal, las organizaciones en las que la interrupción completa del sistema podría tener consecuencias que alteran la vida de usuarios inocentes, como operadores de servicios públicos y organismos de atención médica, deben estar particularmente alerta a los riesgos.
Los indicadores de compromiso para las dos muestras originales de Azov analizadas por Vinopal y las reglas de Yara se pueden encontrar en el blog de investigación de Check Point.
