concepto de seguridad digital Bomba informática en entorno electrónico, representación 3D

imágenes falsas

Durante el año pasado, surgió una avalancha de malware de limpieza destructivo de no menos de nueve familias. Durante la semana pasada, los investigadores han catalogado al menos dos más, los cuales cuentan con bases de código avanzadas diseñadas para infligir el máximo daño.

El lunes, los investigadores de Check Point Research publicaron detalles de Azov, una pieza de malware nunca antes vista que la compañía describió como un «borrador de datos efectivo, rápido y, lamentablemente, irrecuperable». Los archivos se eliminan en bloques de 666 bytes sobrescribiéndolos con datos aleatorios, dejando intacto un bloque de tamaño idéntico, y así sucesivamente. El malware utiliza la variable local no inicializada char buffer[666] .

Los niños guionistas no tienen que aplicar

Después de destruir permanentemente los datos en las máquinas infectadas, Azov muestra una nota de estilo publicitario de ransomware. La nota reitera las conversaciones del Kremlin sobre la guerra de Rusia contra Ucrania, incluidas las amenazas de ataques nucleares. La nota de una de las dos muestras que Check Point recuperó atribuye incorrectamente las palabras a un conocido analista de malware de Polonia.

Azov note copy

A pesar de la apariencia inicial de una empresa de desarrollo juvenil, Azov no es de ninguna manera vulgar. En la definición original, es un virus informático, lo que significa que modifica archivos (en este caso, agrega código polimórfico a ejecutables de 64 bits de puerta trasera) que atacan el sistema infectado. También está escrito completamente en ensamblador, un lenguaje de bajo nivel que es extremadamente tedioso de usar pero que también hace que el malware sea más efectivo en el proceso de puerta trasera. Además del código polimórfico, Azov utiliza otras técnicas para que a los investigadores les resulte más difícil detectarlo y analizarlo.

«Aunque la muestra de Azov se consideró skidsware cuando se encontró por primera vez (probablemente debido a la nota de rescate de forma extraña), una investigación más profunda revela técnicas muy avanzadas: ensamblaje artesanal, inyección de cargas útiles en ejecutables para abrirlos a través de una puerta trasera, y varios anti- trucos de análisis normalmente reservados para libros de texto de seguridad o herramientas de ciberdelincuencia de marca de alto perfil”, escribió el investigador de Check Point Jiri Vinopal. «Azov ransomware sin duda debería hacer la vida más difícil para el ingeniero inverso típico que el malware promedio».

Una bomba lógica integrada en el código hace que Azove detone en un momento predeterminado. Una vez activada, la bomba lógica itera sobre todos los directorios de archivos y ejecuta la rutina de eliminación en cada uno, a excepción de ciertas rutas del sistema codificadas y extensiones de archivo. Hasta el mes pasado, se enviaron más de 17 000 ejecutables de puerta trasera a VirusTotal, lo que indica que el malware se ha generalizado.

El miércoles pasado, los investigadores de la firma de seguridad ESET dieron a conocer otro limpiaparabrisas nunca antes visto al que llamaron Fantasy, junto con una herramienta de ejecución y movimiento lateral llamada Sandals. El malware se distribuyó mediante un ataque a la cadena de suministro que secuestró la infraestructura de una empresa israelí que desarrolla software para su uso en la industria del diamante. En 150 minutos, Fantasy y Sandals se estaban extendiendo a los clientes de la empresa de software, que trabajaban en recursos humanos, soporte de TI y diamantes mayoristas. Los objetivos estaban en Sudáfrica, Israel y Hong Kong.

Fantasy se basa en gran medida en Apostle, malware que primero se disfrazó de ransomware antes de convertirse en un limpiador. El apóstol ha sido vinculado a Agrius, un actor de amenazas iraní que opera desde el Medio Oriente. La reutilización de código llevó a ESET a colocar Fantasy y Sandals en el mismo grupo.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí