Investigadores de ciberseguridad han publicado el funcionamiento interno de un nuevo limpiaparabrisas llamado ransomware que está diseñado deliberadamente para corromper los datos e “infligir un daño impecable” a los sistemas comprometidos.
Distribuido a través de otro cargador de malware conocido como SmokeLoader, el malware ha sido descrito como un “borrador de datos efectivo, rápido y, lamentablemente, irrecuperable”, de la empresa de ciberseguridad israelí Check Point. Sus orígenes aún no se han determinado.
La rutina de limpieza está configurada para sobrescribir el contenido de un archivo alternando fragmentos de 666 bytes con ruido aleatorio, una técnica conocida como cifrado intermitente los operadores de ransomware lo aprovechan cada vez más para evadir la detección y cifrar los archivos de las víctimas más rápido.
“Algo que distingue a Azov de su ransomware común es la modificación de ciertos ejecutables de 64 bits para ejecutar su propio código”, dijo el investigador de amenazas Jiří Vinopal. “La modificación de los ejecutables se realiza mediante código polimórfico, para que no se frustre potencialmente con firmas estáticas”.
Azov Ransomware también incorpora una bomba lógica, un conjunto de condiciones que deben cumplirse antes de activar una acción maliciosa, para detonar la ejecución de las funciones de borrado y puerta trasera en un momento predeterminado.
“Aunque la muestra de Azov se consideró skidsware cuando se encontró por primera vez […]cuando se investiga más a fondo, se encuentran técnicas muy avanzadas: ensamblaje elaborado manualmente, inyección de cargas útiles en ejecutables con el fin de respaldarlos, y varios trucos antianálisis generalmente reservados para libros de texto de seguridad o herramientas de ciberdelincuencia de marca de alto perfil “, agregó Vinopal.
El desarrollo se produce en medio de una profusión de ataques de limpieza destructivos desde principios de año. Esto incluye WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2, DoubleZero, RURansom y CryWiper.
La semana pasada, la empresa de seguridad ESET reveló otro limpiador nunca antes visto llamado Fantasy que se propaga mediante un ataque a la cadena de suministro dirigido a una empresa de software israelí para apuntar a clientes en la industria del diamante. El malware se ha relacionado con un actor de amenazas llamado Agrius.