Siber güvenlik araştırmacıları, adlı yeni bir silicinin iç işleyişini yayınladılar. Azov Fidye Yazılımı verileri bozmak ve güvenliği ihlal edilmiş sistemlere “kusursuz hasar vermek” için kasıtlı olarak tasarlanmıştır.
SmokeLoader olarak bilinen başka bir kötü amaçlı yazılım yükleyici aracılığıyla dağıtılan kötü amaçlı yazılım, tarif İsrail siber güvenlik şirketi Check Point tarafından “etkili, hızlı ve maalesef kurtarılamaz bir veri silecek” olarak. Kökenleri henüz belirlenmedi.
Silecek yordamı, bir dosyanın içeriğinin üzerine 666 baytlık parçalar halinde rastgele gürültüyle yazacak şekilde ayarlanmıştır. aralıklı şifreleme bu, fidye yazılımı operatörleri tarafından tespit edilmekten kaçınmak ve kurbanların dosyalarını daha hızlı şifrelemek için giderek daha fazla kullanılıyor.
Tehdit araştırmacısı Jiří Vinopal, “Azov’u bahçe tipi fidye yazılımınızdan ayıran bir şey, belirli 64-bit yürütülebilir dosyaları kendi kodunu yürütmek için değiştirmesidir” dedi. “Yürütülebilir dosyaların değiştirilmesi, statik imzalar tarafından potansiyel olarak engellenmemesi için polimorfik kod kullanılarak yapılır.”
Azov Ransomware ayrıca önceden belirlenmiş bir zamanda silme ve arka kapı açma işlevlerinin yürütülmesini patlatmak için bir mantık bombası (kötü niyetli bir eylemi etkinleştirmeden önce karşılanması gereken bir dizi koşul) içerir.
“Azak örneği, ilk karşılaşıldığında küçük yazılım olarak kabul edilse de […]daha fazla araştırıldığında çok gelişmiş teknikler buluyor – manuel olarak hazırlanmış montaj, arka kapı açmak için yürütülebilir dosyalara yük enjekte etme ve genellikle güvenlik ders kitapları veya yüksek profilli marka siber suç araçları için ayrılmış birkaç anti-analiz hilesi,” diye ekledi Vinopal.
Gelişme, yılın başından bu yana çok sayıda yıkıcı silici saldırısının ortasında geliyor. Buna WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2, DoubleZero, RURansom ve CryWiper dahildir.
Geçen hafta, güvenlik firması ESET, elmas endüstrisindeki müşterileri hedef almak için İsrailli bir yazılım şirketini hedef alan bir tedarik zinciri saldırısı kullanılarak yayılan Fantasy adlı daha önce görülmemiş başka bir silecek ifşa etti. Kötü amaçlı yazılım, Agrius adlı bir tehdit aktörüyle ilişkilendirildi.