Изследователи в областта на киберсигурността публикуваха вътрешните механизми на новата заплаха, наречена Azov Ransomware, която е умишлено създадена да поврежда данни и да „нанася безупречни щети“ на компрометираните системи.
Разпространяван чрез друг зареждащ софтуер, известен като SmokeLoader, зловредният софтуер е описан от израелската компания за киберсигурност Check Point като „ефективен, бърз и за съжаление невъзстановим чистач на данни“. Произходът му все още не е установен.
Рутинната програма за изтриване на данни е настроена да презаписва съдържанието на файла на редуващи се 666-байтови парчета със случаен шум – техника, наречена периодично криптиране, която все по-често се използва от операторите на софтуер за откуп, за да избегнат откриването и да криптират файловете на жертвите по-бързо.
„Едно от нещата, които отличават Azov от обикновения рансъмуер, е модифицирането на определени 64-битови изпълними файлове, за да изпълнява свой собствен код“, казва изследователят на заплахи Иржи Винопал. „Модификацията на изпълнимите файлове се извършва с помощта на полиморфен код, така че да не може да бъде възпрепятствана от статични сигнатури.“
Azov Ransomware включва и логическа бомба – набор от условия, които трябва да бъдат изпълнени, преди да се активира злонамерено действие – за да детонира изпълнението на функциите за изтриване и връщане на данни в предварително определен момент.
„Въпреки че при първоначално образецът на Azov се смяташе за скидсуеър […], при по-нататъшно проучване се откриват много напреднали техники – ръчно създадени асемблита, инжектиране на полезен товар в изпълними файлове с цел да се вкарат задни вратички в тях, както и няколко трика за антианализ, които обикновено са запазени за учебниците по сигурност или за високопрофилните маркови инструменти за киберпрестъпност“, добави Винопал.
Разработката идва на фона на множеството разрушителни атаки с файлови чистачи от началото на годината. Това включва WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2, DoubleZero, RURansom и CryWiper.
Миналата седмица фирмата за сигурност ESET разкри още един невиждан досега уайпер, наречен Fantasy, който се разпространява, използвайки атака по веригата за доставки, насочена към израелска софтуерна компания, за да се насочи към клиенти в диамантената индустрия. Зловредният софтуер е свързан с хакерска група, наречена Agrius.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.