Actus

Azov Ransomware : Le Ransomware qui détruit les données de l’ordinateur

Par hfrance , le 8 novembre 2022 , mis à jour le 8 novembre 2022 - 4 minutes de lecture
hacker
5/5 - (1 vote)

Le Ransomware Azov, qui s’est révélé être un effaceur de données qui supprime volontairement les données des victimes et infecte d’autres programmes, est toujours largement dispersé dans le monde.

Un acteur de la menace a commencé à diffuser le mois dernier un malware connu sous le nom de “Azov Ransomware” par le biais d’exploits logiciels et de logiciels piratés qui prétendaient chiffrer les fichiers des victimes.

La note de rançon demandait aux victimes d’entrer en contact avec des chercheurs en sécurité et des journalistes afin qu’ils puissent se faire passer pour les créateurs du ransomware plutôt que de fournir leurs coordonnées pour négocier une rançon.

'Azov Ransomware' data wiper note to victims
note d’effacement des données d'”Azov Ransomware” adressée aux victimes
Source : BleepingComputer

Nous avons supposé que le malware était un nettoyeur de données car il n’y avait pas d’informations de contact et les contacts identifiés ne pouvaient pas aider les victimes.

Un effaceur de données diabolique

Ji Vinopal, chercheur en sécurité chez Checkpoint, a examiné le ransomware Azov la semaine dernière. Il a constaté que le malware a été conçu spécifiquement pour détruire des données.

Checkpoint tweet

Le malware avait un déclencheur qui le faisait rester en sommeil sur les ordinateurs des victimes jusqu’au 27 octobre 2022, à 10:14:30 AM UTC, après quoi toutes les données de l’ordinateur seraient corrompues.

Selon Vinopal, il endommagerait les données en alternant des blocs de 666 octets de données inutiles et effacerait le contenu d’un fichier. Le fait que le nombre 666 soit fréquemment associé au “Diable” biblique démontre les intentions néfastes de l’auteur de la menace.

“Les 666 octets suivants restent originaux et exactement 666 octets sont écrasés par des données aléatoires (non initialisées) à chaque cycle”

Comme il s’agit d’une boucle, la structure d’un fichier effacé serait la suivante : 666 octets de déchets, 666 octets de données originales, 666 octets de déchets, 666 octets de données originales, etc.

Corrupting data in alternating 666 bytes of data
Corruption de données en alternance 666 octets de données
Source : Jiří Vinopal

Pour aggraver les choses, d’autres exécutables 64 bits sur le périphérique Windows dont le chemin de fichier ne contient pas la chaîne suivante seront également infectés par l’effaceur de données, ou ” backdoor ” :

:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\\Default\Cache\\
Documents et paramètres
\Tous les utilisateurs

Lorsqu’un logiciel malveillant ouvre une porte dérobée sur un exécutable, il y injecte du code qui déclenche le lancement de l’essuyeur de données lors de l’exécution d’un exécutable apparemment sans importance.

Les mêmes shellcodes utilisés pour backdoor des fichiers sont toujours codés différemment puisque le backdooring fonctionne de manière polymorphe, selon Vinopal.

(Par exemple, si le même fichier A devait être backdooré deux fois vers les fichiers B1 et B2, le shellcode pour B1 et B2 serait différent, rendant B1 et B2 différents sur le disque) Cela est probablement fait pour échapper à la détection AV statique.

Infecting 64-bit files for persistence
Infection de fichiers 64 bits pour la persistance
Source : Jiří Vinopal

L’acteur de la menace continue de diffuser le malware par le biais du botnet Smokeloader, que l’on voit fréquemment sur des sites Web vendant de faux logiciels sans licence et des cracks.

Les pages de soumissions de ce virus à VirusTotal au moment de la rédaction de cet article montrent combien de victimes ce malware a fait au cours des deux dernières semaines. Ces données sont à jour au moment de la rédaction du présent document.

Azov submission to VirusTotal
Soumissions d’Azov à VirusTotal
Source : BleepingComputer

On ignore pourquoi l’acteur de la menace investit de l’argent dans la distribution de data wiper. Les explications théoriques, cependant, vont de la volonté de cacher d’autres activités criminelles à la simple volonté de “troller” la communauté de la cybersécurité.

Quelle que soit la cause, les victimes d’Azov Ransomware ne pourront pas restaurer leurs fichiers, et comme d’autres exécutables ont été compromis, elles devraient réinstaller Windows pour être en sécurité.

En outre, Smokeloader est probablement équipé d’autres logiciels malveillants, tels que des logiciels malveillants qui volent les mots de passe, étant donné qu’il est utilisé pour diffuser le ransomware Azov. Il est donc impératif de réinitialiser tous les mots de passe des services financiers, des comptes de messagerie ou d’autres comptes contenant des données sensibles.

Bien qu’il porte le nom du régiment militaire ukrainien “Azov”, le ransomware n’a vraisemblablement aucun lien avec cette nation et utilise simplement ce surnom comme une ruse.

  • Kinguin McAfee LiveSafe 2019 (3 Years / 1 Device)
    Avec McAfee LiveSafe, vous bénéficiez de la protection ultime pour vos données et votre identité sur votre PC, Mac, smartphone et tablette avec un seul abonnement. Antivirus primé L'analyse des menaces basée sur le cloud vous protège contre les virus, y compris les ransomwares, sans vous ralentir. Navigation Web sécurisée Évitez les attaques avant qu'elles ne se produisent avec des avertissements clairs de sites Web, de liens et de fichiers à risque. Optimisation des performances Faites fonct...
  • Kinguin McAfee LiveSafe 2021 Key (1 Year / Unlimited Devices)
    Avec McAfee LiveSafe, vous bénéficiez de la protection ultime pour vos données et votre identité sur votre PC, Mac, smartphone et tablette avec un seul abonnement. Antivirus primé L'analyse des menaces basée sur le cloud vous protège contre les virus, y compris les ransomwares, sans vous ralentir. Navigation Web sécurisée Évitez les attaques avant qu'elles ne se produisent avec des avertissements clairs de sites Web, de liens et de fichiers à risque. Optimisation des performances Faites fonct...
  • Kinguin McAfee LiveSafe 2021 Key (3 Years / 1 Device)
    Avec McAfee LiveSafe, vous bénéficiez de la protection ultime pour vos données et votre identité sur votre PC, Mac, smartphone et tablette avec un seul abonnement. Antivirus primé L'analyse des menaces basée sur le cloud vous protège contre les virus, y compris les ransomwares, sans vous ralentir. Navigation Web sécurisée Évitez les attaques avant qu'elles ne se produisent avec des avertissements clairs de sites Web, de liens et de fichiers à risque. Optimisation des performances Faites fonct...

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.