trojanerensomsletteraltmenhvorfor
Azov-trojaneren sletter alt som er på maskinen som infiseres, og ingen kan forklare hvorfor.

Annonse


Designet for å ødelegge alt, men hvorfor?

Trond Bie·

“Azov”-skadevaren fra oktober er ikke hva den først så ut som.

Er en “wiper”, ikke et løsepengevirus i ordets rette forstand

Pål Aaserudseter

“Det viser seg nå være en avansert Wiper, og ikke et tradisjonelt løsepengevirus som først antatt. Azov er designet for å fullstendig ødelegge det kompromitterte systemet det kjører på,” melder sikkerhetsselskapet Check Point nå.

Et Wiper-program sletter alt, som oppsummert av Check Point:

“Wiper er et program som sletter data, og man må benytte seg av backup for å få de tilbake. Der de fleste Ransomware krypterer, så fjerner en wiper dataene (ofte etter at de kriminelle har sin egen kopi).”

Annonse


“Kun for å trolle?”

Azov ble som kjent først oppdaget i oktober i år.

Trojaneren ble spredd ved å smette den inn i piratkopierte spill, lisenser for programmer og slike ting.

Det er uklart hvorfor disse trusselaktørene bruker penger på å distribuere en Wiper. Det kan hende at det skal dekke over noe annet ondsinnet, eller at de bare et ute etter å «trolle».

Pål Aaserudseter, sikkerhetsarkitekt, Check Point Norge.

Azov lot som den krypterte filene, men “i stedet for å oppgi kontaktinformasjon for å forhandle om løsepenger, ble ofrene bedt om å kontakte sikkerhetseksperter og journalister for å fremstille dem som ransomware-utviklere,” heter det fra Check Point. Merkelig.

Nevner krigen i Ukraina

Det Check Point gjorde var å ta en nærmere titt på koden – det skulle vise seg at ikke alt er som det ser ut:

“Azov skiller seg ut fra andre ransomware-hendelser fordi den kan endre eksekverbare filer for å kjøre sin egen kode. Endringen gjøres ved hjelp av en polymorfkode (koden endrer seg selv hver gang den kjøres, men funksjonen til koden endres ikke) for ikke å bli blokkert eller oppdaget. Infeksjonen har ført til en bølge av offentlig tilgjengelige filer infisert med Azov, og hver eneste dag sendes hundrevis av nye Azov- relaterte prøver til VirusTotal, hittil er det registrert over 17 000 tilfeller.”

Eksperter har ikke klart å finne ut hva som er motivasjonen til aktørene som distribuerer den farlige koden, men som navnet tilsier refereres det til krigen i Ukraina og Kina/Taiwan-konflikten i tekstfiler relatert til maskiner som har blitt offer for trojaneren, og som er delt av Check Point:

Annonse