Azov Ransomware : Le Ransomware qui détruit les données de l’ordinateur

Nous avons supposé que le malware était un nettoyeur de données car il n’y avait pas d’informations de contact et les contacts identifiés ne pouvaient pas aider les victimes.

Un effaceur de données diabolique

Ji Vinopal, chercheur en sécurité chez Checkpoint, a examiné le ransomware Azov la semaine dernière. Il a constaté que le malware a été conçu spécifiquement pour détruire des données.

Le malware avait un déclencheur qui le faisait rester en sommeil sur les ordinateurs des victimes jusqu’au 27 octobre 2022, à 10:14:30 AM UTC, après quoi toutes les données de l’ordinateur seraient corrompues.

Selon Vinopal, il endommagerait les données en alternant des blocs de 666 octets de données inutiles et effacerait le contenu d’un fichier. Le fait que le nombre 666 soit fréquemment associé au “Diable” biblique démontre les intentions néfastes de l’auteur de la menace.

“Les 666 octets suivants restent originaux et exactement 666 octets sont écrasés par des données aléatoires (non initialisées) à chaque cycle”

Comme il s’agit d’une boucle, la structure d’un fichier effacé serait la suivante : 666 octets de déchets, 666 octets de données originales, 666 octets de déchets, 666 octets de données originales, etc.

Pour aggraver les choses, d’autres exécutables 64 bits sur le périphérique Windows dont le chemin de fichier ne contient pas la chaîne suivante seront également infectés par l’effaceur de données, ou ” backdoor ” :

:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\\Default\Cache\\
Documents et paramètres
\Tous les utilisateurs

Lorsqu’un logiciel malveillant ouvre une porte dérobée sur un exécutable, il y injecte du code qui déclenche le lancement de l’essuyeur de données lors de l’exécution d’un exécutable apparemment sans importance.

Les mêmes shellcodes utilisés pour backdoor des fichiers sont toujours codés différemment puisque le backdooring fonctionne de manière polymorphe, selon Vinopal.

(Par exemple, si le même fichier A devait être backdooré deux fois vers les fichiers B1 et B2, le shellcode pour B1 et B2 serait différent, rendant B1 et B2 différents sur le disque) Cela est probablement fait pour échapper à la détection AV statique.

L’acteur de la menace continue de diffuser le malware par le biais du botnet Smokeloader, que l’on voit fréquemment sur des sites Web vendant de faux logiciels sans licence et des cracks.

Les pages de soumissions de ce virus à VirusTotal au moment de la rédaction de cet article montrent combien de victimes ce malware a fait au cours des deux dernières semaines. Ces données sont à jour au moment de la rédaction du présent document.

On ignore pourquoi l’acteur de la menace investit de l’argent dans la distribution de data wiper. Les explications théoriques, cependant, vont de la volonté de cacher d’autres activités criminelles à la simple volonté de “troller” la communauté de la cybersécurité.

Quelle que soit la cause, les victimes d’Azov Ransomware ne pourront pas restaurer leurs fichiers, et comme d’autres exécutables ont été compromis, elles devraient réinstaller Windows pour être en sécurité.

En outre, Smokeloader est probablement équipé d’autres logiciels malveillants, tels que des logiciels malveillants qui volent les mots de passe, étant donné qu’il est utilisé pour diffuser le ransomware Azov. Il est donc impératif de réinitialiser tous les mots de passe des services financiers, des comptes de messagerie ou d’autres comptes contenant des données sensibles.

Bien qu’il porte le nom du régiment militaire ukrainien “Azov”, le ransomware n’a vraisemblablement aucun lien avec cette nation et utilise simplement ce surnom comme une ruse.