Azov Fidye Yazılımı dünya çapında yoğun bir şekilde dağıtılmaya devam ediyor, artık kurbanların verilerini kasıtlı olarak yok eden ve diğer programlara bulaşan bir veri sileceği olduğu kanıtlandı.
Geçen ay, bir tehdit aktörü ‘ adlı kötü amaçlı yazılımı dağıtmaya başladı.Azak Fidye Yazılımı‘ kurbanların dosyalarını şifreliyormuş gibi yapan çatlaklar ve korsan yazılımlar aracılığıyla.
Ancak fidye notu, bir fidye için pazarlık yapmak için iletişim bilgileri sağlamak yerine, mağdurlara güvenlik araştırmacıları ve gazetecilerle iletişime geçerek onları fidye yazılımının geliştiricileri olarak göstermelerini söyledi.
Hiçbir iletişim bilgisi bulunmadığından ve listelenen kişilerin kurbanlara yardım etmenin hiçbir yolu olmadığından, kötü amaçlı yazılımın bir veri sileceği olduğunu varsaydık.
Şeytani bir veri sileceği
Geçen hafta, Checkpoint güvenlik araştırmacısı Jiří Vinopal Azov Fidye Yazılımını analiz etti ve BleepingComputer’a kötü amaçlı yazılımın verileri bozmak için özel olarak üretildiğini doğruladı.
Kötü amaçlı yazılım, kurbanın cihazlarında 27 Ekim 2022 saat 10:14:30 UTC’ye kadar hareketsiz kalmasına neden olacak ve ardından cihazdaki tüm verilerin bozulmasını tetikleyecek bir tetikleme süresi içeriyordu.
Vinopal, bir dosyanın içeriğinin üzerine yazacağını ve değişen 666 baytlık çöp veri yığınlarındaki verileri bozacağını söylüyor. 666 sayısı genellikle İncil’deki ‘Şeytan’ ile ilişkilendirilir ve tehdit aktörünün kötü niyetini açıkça gösterir.
Vinopal, BleepingComputer’a “Her döngü tam olarak 666 baytın üzerine rastgele (başlatılmamış veriler) yazılıyor ve sonraki 666 bayt orijinal kalıyor” dedi.
“Bu bir döngüde çalışır, bu nedenle silinen dosya yapısı şöyle görünür: 666 bayt çöp, 666 bayt orijinal, 666 bayt çöp, 666 bayt orijinal, vb…”
Daha da kötüsü, veri sileceği Windows aygıtındaki dosya yolu aşağıdaki dizeleri içermeyen diğer 64-bit yürütülebilir dosyalara bulaşacak veya ‘arka kapı’ oluşturacaktır:
:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\Default\Cache\
Documents and Settings
\All Users
Yürütülebilir bir dosyayı arka kapıya yerleştirirken, kötü amaçlı yazılım, görünüşte zararsız bir yürütülebilir dosya başlatıldığında veri sileceğinin başlatılmasına neden olacak kodu enjekte eder.
Vinopal, “Dosyaların arka kapısı polimorfik bir şekilde çalışır, bu da arka kapı dosyaları için kullanılan aynı kabuk kodlarının her seferinde farklı şekilde kodlandığı anlamına gelir,” diye açıkladı.
“(örneğin, aynı A dosyası B1 ve B2 dosyasına 2 kez arka kapıya açılırsa, B1 ve B2 kabuk kodu bölümleri farklıdır, dolayısıyla B1 ve B2 de diskte farklıdır) – bu muhtemelen statik AV algılamasını önlemek için kullanılır.”
Bugün, tehdit aktörü, genellikle sahte korsan yazılımlarda ve crack sitelerinde bulunan Smokeloader botnet aracılığıyla kötü amaçlı yazılımı dağıtmaya devam ediyor.
Bu yazının yazıldığı sırada, yalnızca bugün için bu kötü amaçlı yazılımın VirusTotal’a gönderildiği sayfalar zaten var ve bu, son iki hafta içinde bu kötü amaçlı yazılımdan kaç kurbanın etkilendiğini gösteriyor.
Tehdit aktörünün neden bir veri silici dağıtmak için para harcadığı belli değil. Bununla birlikte, teoriler, diğer kötü niyetli davranışları örtmek veya basitçe siber güvenlik topluluğunu ‘trollemek’ için yapılmasına kadar uzanmaktadır.
Nedeni ne olursa olsun, Azov Ransomware bulaşmış kurbanların dosyalarını kurtarmanın hiçbir yolu olmayacak ve diğer yürütülebilir dosyalara bulaştığından, güvende olmaları için Windows’u yeniden yüklemeleri gerekiyor.
Ayrıca Smokeloader, Azov veri sileceklerini dağıtmak için kullanıldığından, parola çalan kötü amaçlı yazılımlar gibi başka kötü amaçlı yazılımlarla da yüklenmiş olabilir. Bu nedenle, e-posta hesaplarına, finansal hizmetlere veya diğer hassas bilgilere ilişkin tüm parolaları sıfırlamak önemlidir.
Son olarak, fidye yazılımına Ukrayna ‘Azov’ askeri alayının adı verilmiş olsa da, bu kötü amaçlı yazılımın büyük olasılıkla ülkeyle bağlantısı yoktur ve adı yalnızca sahte bir bayrak olarak kullanıyor.