כופרת Azov משמידה מידע בקצב 666 בייטים לסירוגין

הכופרה של Azov ממשיכה להיות מופצת בכבדות ברחבי העולם וכעת גם הוכחה כ"מגב נתונים" המשמיד באופן מכוון ושיטתי את הנתונים של הקורבנות ומדביק תוכניות אחרות במכשירים שלהם. בחודש שעבר, החלו האקרים להפיץ נוזקה בשם Azov Ransomware באמצעות פרצות אבטחה ותוכנות פיראטיות שהתיימרו להצפין קבצים של קורבנות. עם זאת, במקום לספק מידע ליצירת קשר כדי לנהל משא ומתן על הכופר, נאמר לקורבנות בדרישת הכופר ליצור קשר עם חוקרי אבטחת סייבר ועיתונאים כדי להגדיר את Azov כמפתחי הכופרה שהתקיפה אותם.

בשבוע שעבר ניתח את הכופרה של Azov חוקר האבטחה של צ'קפוינט – Jiří Vinopal ואישר בפני BleepingComputer שהנוזקה היא מגב נתונים "שטני" ונוצרה במיוחד כדי להשחית נתונים. הנוזקה מגדירה זמן הפעלה שיגרום לה להמתין במצב רדום במכשירים של הקורבן עד 27 באוקטובר 2022 בשעה 10:14:30 UTC. במועד זה יושחתו הנתונים במכשיר. Vinopal מצא שהנוזקה תחליף קבצים ומידע אחר בנתוני זבל של 666 בייטים לסירוגין. המספר 666 מקושר בדרך כלל לשטן ומראה בבירור את כוונתם הזדונית של ההאקרים: בכל מחזור מוחלפים בדיוק 666 בייטים אקראיים (נתונים לא מאותחלים) ו- 666 הבייטים הבאים נשארים מקוריים. האירוע מתרחש בלולאה כך שמבנה הקובץ שנמחק ייראה כך: 666 בייטים של אשפה, 666 בייטים מקוריים, 666 בייטים של אשפה, 666 בייטים מקוריים וכן הלאה.

כדי להחמיר את המצב עוד יותר, מגב הנתונים ידביק (או יפעיל דלת אחורית) קבצי הפעלה אחרים של 64 סיביות במכשירים מבוססי Windows. בעת הפעלת קובץ הפעלה בדלת אחורית, תחדיר הנוזקה קוד שיגרום להפעלת מגב הנתונים כאשר מופעל קובץ הפעלה לא מזיק לכאורה. "הדלת האחורית של הקבצים עובדת בצורה פולימורפית, מה שאומר שאותם קודי מעטפת המשמשים לקבצי דלת אחורית מקודדים בכל פעם אחרת", מסביר Vinopal.

כיום, ממשיכים ההאקרים להפיץ את כופרת Azov דרך רשת הבוט Smokeloader, שנמצאת בדרך כלל בתוכנות פיראטיות מזויפות ובאתרי פיצוח תוכנות. לא ברור מדוע מוציא מפיץ הנוזקה כסף כדי להפיץ מגב נתונים. עם זאת, התיאוריות נעות בין כיסוי / ערפול התנהגות זדונית אחרת או פשוט לשם הטרלה של קהילת אבטחת הסייבר. ללא קשר לסיבה, לקורבנות שנדבקו ב- Azov Ransomware לא תהיה שום דרך לשחזר את הקבצים שלהם ומכיוון שקבצי הפעלה אחרים נגועים, עליהם להתקין מחדש את Windows ליתר ביטחון. יתר על כן, מכיוון ש- Smokeloader משמש להפצת מגב הנתונים של Azov, סביר להניח שהוא מותקן גם עם נוזקות אחרות, כגון תוכנות לגניבת סיסמאות. לכן, חיוני לאפס סיסמאות לחשבונות דואר אלקטרוני, שירותים פיננסיים או מידע רגיש אחר. לבסוף, בעוד שתוכנת הכופר נקראת על שם הגדוד הצבאי 'אזוב' האוקראיני, הכופרה הזו ככל הנראה אינה קשורה למדינה והיא רק משתמשת כדגל כוזב.

קראו על שירותי הסייבר שלנו, ויחד ניצור מעטפת הגנת סייבר מקצה לקצה לארגון שלכם! צרו איתנו קשר עוד היום להבטחת בטחון המידע לעסק שלכם!

למאמר המלא ולקריאה נוספת

כופרת Azov משמידה מידע בקצב 666 בייטים
דילוג לתוכן