Negen verschillende wiper malware-families liepen in 2022 tegen de lamp. In de afgelopen week ontdekten onderzoekers twee nieuwe varianten. Beide programma’s hebben geavanceerde codebases om zoveel mogelijk verwoesting aan te richten.
Check Point publiceerde onlangs een onderzoeksrapport over Azov. De voorheen onbekende data wiper wordt door experts beschreven als effectief, snel en onherstelbaar. De malware verwijdert bestanden in blokken van 666 bytes door ze te overschrijven met willekeurige data.
Slimmer dan het lijkt
Zodra de gegevens van een systeem zijn verdwenen toont Azov een tekstbestand dat doet denken aan ransomwarebrief. Het onderwerp van de tekst is de Russische aanval op Oekraïne, compleet met dreigingen van nucleaire aanvallen.
Het lijkt op een stunt, iets wat een jonge malware-ontwikkelaar zou bedenken. Toch is het programma geavanceerd. Azov is een klassiek computervirus dat bestanden wijzigt om systemen aan te vallen — in dit geval met polymorphic code en backdoor 64-bit executables.
Azov
De malware is geschreven in assembly. De low-level programmeertaal is lastig is om mee te werken, maar bijzonder effectief voor backdoors. Azov gebruikt verschillende technieken om detectie en analyse te voorkomen, waaronder polymorphic code.
Het programma bevat een ‘logic bomb’, waardoor de malware op een vooraf ingesteld tijdstip ontploft. Zodra de logic bomb afgaat voert Azov de wisprocedure herhaaldelijk uit. Enkele hard-coded systeempaden en bestandsextensies blijven intact. Bijna alle gegevens worden verwijderd.
De malware lijkt wijdverspreid. Per november had VirusTotal meer dan 17.000 meldingen van executables met backdoors.
18 uur geleden
