Azov Ransomware terus didistribusikan secara besar-besaran di seluruh dunia, sekarang terbukti sebagai penghapus data yang dengan sengaja menghancurkan data korban dan menginfeksi program lain.
Bulan lalu, aktor ancaman mulai mendistribusikan malware yang disebut ‘Ransomware Azov‘ melalui celah dan perangkat lunak bajakan yang berpura-pura mengenkripsi file korban.
Namun, alih-alih memberikan info kontak untuk menegosiasikan uang tebusan, catatan tebusan meminta korban untuk menghubungi peneliti keamanan dan jurnalis untuk menjebak mereka sebagai pengembang ransomware.
Sumber: BleepingComputer
Karena tidak ada info kontak, dan kontak yang terdaftar tidak memiliki cara untuk membantu korban, kami berasumsi bahwa malware tersebut adalah penghapus data.
Penghapus data jahat
Minggu lalu, peneliti keamanan pos pemeriksaan Jiří Vinopal menganalisis Azov Ransomware dan mengkonfirmasi ke BleepingComputer bahwa malware itu dibuat khusus untuk merusak data.
Malware termasuk waktu pemicu yang akan menyebabkannya tidak aktif di perangkat korban hingga 27 November 2022, pukul 10:14:30 UTC, yang kemudian akan memicu kerusakan semua data di perangkat.
Vinopal mengatakan itu akan menimpa konten file dan merusak data dalam potongan data sampah 666-byte secara bergantian. Angka 666 umumnya diasosiasikan dengan ‘Iblis’ dalam Alkitab, dengan jelas menunjukkan niat jahat dari pelaku ancaman.
“Setiap siklus tepat 666 byte sedang ditimpa dengan acak (data tidak diinisialisasi) dan 666 byte berikutnya dibiarkan asli,” kata Vinopal kepada BleepingComputer.
“Ini bekerja dalam satu lingkaran, jadi struktur file yang dihapus akan terlihat seperti ini: 666 byte sampah, 666 byte asli, 666 byte sampah, 666 byte asli, dll…”
Sumber: Jiří Vinopal
Lebih buruk lagi, penghapus data akan menginfeksi, atau ‘pintu belakang’, executable 64-bit lainnya pada perangkat Windows yang jalur filenya tidak berisi string berikut:
:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\Default\Cache\
Documents and Settings
\All UsersSaat melakukan backdooring pada executable, malware akan menyuntikkan kode yang akan menyebabkan penghapus data diluncurkan ketika executable yang tampaknya tidak berbahaya diluncurkan.
“Backdooring file bekerja dengan cara polimorfik, yang berarti shellcode yang sama yang digunakan untuk file backdoor setiap kali dikodekan secara berbeda,” jelas Vinopal.
“(Misalnya jika file A yang sama akan di-backdoor 2 kali ke file B1 dan B2, bagian shellcode B1 dan B2 berbeda sehingga B1 dan B2 juga berbeda pada disk) – ini mungkin digunakan untuk menghindari deteksi AV statis.”
Sumber: Jiří Vinopal
Hari ini, pelaku ancaman terus mendistribusikan malware melalui botnet Smokeloader, yang biasa ditemukan di perangkat lunak bajakan palsu dan situs crack.
Pada saat penulisan ini, sudah ada halaman pengiriman malware ini ke VirusTotal untuk hari ini saja, yang menunjukkan berapa banyak korban yang telah terpengaruh oleh malware ini selama dua minggu terakhir.
Sumber: BleepingComputer
Tidak jelas mengapa aktor ancaman menghabiskan uang untuk mendistribusikan penghapus data. Namun, teori berkisar dari itu dilakukan untuk menutupi perilaku jahat lainnya atau hanya untuk ‘mengejar’ komunitas keamanan siber.
Terlepas dari alasannya, korban yang terinfeksi Azov Ransomware tidak akan memiliki cara untuk memulihkan file mereka, dan karena file executable lainnya terinfeksi, mereka harus menginstal ulang Windows agar aman.
Selain itu, karena Smokeloader digunakan untuk mendistribusikan penghapus data Azov, kemungkinan besar juga diinstal dengan malware lain, seperti malware pencuri kata sandi. Oleh karena itu, penting untuk mengatur ulang kata sandi apa pun ke akun email, layanan keuangan, atau informasi sensitif lainnya.
Akhirnya, sementara ransomware dinamai menurut resimen militer ‘Azov’ Ukraina, malware ini kemungkinan tidak berafiliasi dengan negara dan hanya menggunakan nama itu sebagai bendera palsu.
