Azov Ransomware é um limpador, destruindo dados de 666 bytes por vez

O Azov Ransomware continua a ser amplamente distribuído em todo o mundo, agora comprovado como um limpador de dados que destrói intencionalmente os dados das vítimas e infecta outros programas.

No mês passado, um agente de ameaças começou a distribuir malware chamado ‘Azov Ransomware’ por meio de cracks e software pirata que fingia criptografar os arquivos das vítimas.

No entanto, em vez de fornecer informações de contato para negociar um resgate, a nota de resgate dizia às vítimas para entrar em contato com pesquisadores de segurança e jornalistas para incriminá-los como os desenvolvedores do ransomware.

Como não havia informações de contato e os contatos listados não tinham como ajudar as vítimas, presumimos que o malware era um limpador de dados.

Um limpador de dados diabólico

Na semana passada, o pesquisador de segurança da Checkpoint Jiří Vinopal analisou o Azov Ransomware e confirmou ao BleepingComputer que o malware foi especialmente criado para corromper dados.

O malware incluiu um tempo de disparo que o faria ficar inativo nos dispositivos da vítima até 27 de outubro de 2022, às 10h14:30 UTC, o que desencadearia a corrupção de todos os dados no dispositivo.

Vinopal diz que substituiria o conteúdo de um arquivo e corromperia dados em pedaços alternados de 666 bytes de dados de lixo. O número 666 é comumente associado ao ‘Diabo’ bíblico, mostrando claramente a intenção maliciosa do agente da ameaça.

“Cada ciclo exatamente 666 bytes estão sendo substituídos por dados aleatórios (dados não inicializados) e os próximos 666 bytes são deixados originais”, disse Vinopal ao BleepingComputer.

“Isso funciona em um loop, então a estrutura de arquivos limpa ficaria assim: 666 bytes de lixo, 666 bytes originais, 666 bytes de lixo, 666 bytes originais, etc…”

Para piorar ainda mais, o limpador de dados infectará, ou ‘backdoor’, outros executáveis ​​de 64 bits no dispositivo Windows cujo caminho de arquivo não contém as seguintes strings:

:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\Default\Cache\
Documents and Settings
\All Users

Ao fazer backdoor de um executável, o malware injetará código que fará com que o limpador de dados seja iniciado quando um executável aparentemente inofensivo for iniciado.

“O backdoor dos arquivos funciona de maneira polimórfica, o que significa que os mesmos shellcodes usados ​​para arquivos de backdoor são codificados de maneira diferente”, explicou Vinopal.

“(por exemplo, se o mesmo arquivo A for backdoored 2 vezes para o arquivo B1 e B2, as partes do shellcode B1 e B2 são diferentes, então B1 e B2 também são diferentes no disco) – isso é usado provavelmente para evitar a detecção AV estática.”

Hoje, o agente da ameaça continua distribuindo o malware por meio do botnet Smokeloader, comumente encontrado em softwares piratas falsos e sites de crack.

No momento da redação deste artigo, já existem páginas de envios desse malware para o VirusTotal somente hoje, mostrando quantas vítimas foram afetadas por esse malware nas últimas duas semanas.

Não está claro por que o agente da ameaça está gastando dinheiro para distribuir um limpador de dados. No entanto, as teorias vão desde que isso seja feito para encobrir outros comportamentos maliciosos ou simplesmente para ‘trollar’ a comunidade de segurança cibernética.

Independentemente do motivo, as vítimas infectadas com Azov Ransomware não terão como recuperar seus arquivos e, como outros executáveis ​​estão infectados, eles devem reinstalar o Windows por segurança.

Além disso, como o Smokeloader está sendo usado para distribuir o limpador de dados Azov, provavelmente também é instalado com outros malwares, como malware para roubo de senha. Portanto, é essencial redefinir todas as senhas de contas de e-mail, serviços financeiros ou outras informações confidenciais.

Por fim, embora o ransomware tenha o nome do regimento militar ucraniano ‘Azov’, esse malware provavelmente não é afiliado ao país e está apenas usando o nome como uma bandeira falsa.