Azov es un malware de tipo «wiper«, es decir, borra datos de los equipos afectados. Se empezó a detectar en el mes de octubre, propagándose mediante software pirateado y la botnet SmokeLoader.
En la nota de ransomware no se pide un rescate. En una primera versión se pedía a los afectados que contactasen con investigadores de seguridad o periodistas. Y en una segunda versión se citan partes de discursos del Kremlin. Si bien Azov es el nombre de un batallón ucraniano, según los investigadores se trataría de un ataque de falsa bandera que no parece tener relación con el país.
Inicialmente Azov se consideró un malware de poca complejidad, debido a que ni siquiera llega a pedir un rescate y la nota que deja parece más propia de una broma. Sin embargo, el análisis publicado por los investigadores de Check Point Research ha arrojado muchos puntos interesantes con respecto a su funcionalidad.
Análisis de Azov
Para empezar, su código ha sido desarrollado manualmente en ensamblador usando FASM. Además tiene capacidad para inyectarse en otros ejecutables de forma polimórfica, variando el código que se inyecta cada vez con el objetivo de evadir la detección estática de los antivirus. También utiliza múltiples técnicas anti análisis más propias de libros de texto o de bandas de cibercrimen de alto nivel.
En su proceso de borrado de datos Azov escribe bloques de 666 bytes con ruido aleatorio dejando los siguientes 666 bytes intactos y así sucesivamente hasta alcanzar un límite de 4GB. Este procedimientos se realiza en todos los ficheros salvo exclusiones entre las que están la propia nota de ransomware y archivos de sistema.
La inyección de código para generar puertas traseras se realiza en ejecutables que no estén en la lista de exclusión, con un tamaño menor a 20 megabytes y con extensión «.exe». Antes de inyectarse se modifica el valor de ciertas constantes y se encripta el código. El algoritmo de encriptado/desencriptado usado se reutiliza, lo que facilita la detección del malware.
Entre las técnicas para evitar su análisis Azov cuenta con prevención del uso de breakpoints, constantes opacas, confusión sintáctica, uso de saltos directos e indirectos en lugar de llamadas, inserción de código basura, sustitución de saltos por llamadas y estructuras dinámicamente colocadas para usar funciones de API en lugar de importar código. Una breve explicación de estas técnicas se puede leer en la publicación de Check Point Research.
Los propios analistas proporcionan una regla para la búsqueda en VirusTotal de muestras relacionadas con Azov. En estos momentos más de 17 mil muestras han sido reportadas, lo que da cuenta del alcance que está consiguiendo.
Indicadores de compromiso:
SHA256
b102ed1018de0b7faea37ca86f27ba3025c0c70f28417ac3e9ef09d32617f801
650f0d694c0928d88aeeed649cf629fc8a7bec604563bca716b1688227e0cc7e
Más información:
- https://thehackernews.com/2022/12/cybersecurity-experts-uncover-inner.html
- https://research.checkpoint.com/2022/pulling-the-curtains-on-azov-ransomware-not-a-skidsware-but-polymorphic-wiper/
- https://www.bleepingcomputer.com/news/security/azov-ransomware-is-a-wiper-destroying-data-666-bytes-at-a-time/
- https://twitter.com/_CPResearch/status/1587837524604465153
- https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader
Deja una respuesta