Da alcune settimane sono aumentati gli attacchi effettuati con Azov. Nonostante venga pubblicizzato come ransomware, il malware è in realtà un wiper. Tutti i file modificati al termine dell’infezione non possono essere più recuperati. Lo scopo dei cybercriminali è quindi distruttivo. Gli esperti di Check Point Software hanno descritto il suo funzionamento e consigliato alcune contromisure.
Azov è un wiper, non un ransomware
Azov viene solitamente distribuito da SmokeLoader, un malware che si nasconde spesso in crack, keygen e software pirata. Il codice del wiper è polimorfico, quindi non può essere facilmente scoperto dalle firme statiche degli antivirus. A fine novembre sono stati rilevati oltre 17.000 file infetti su VirusTotal, ma le versioni di Azov in circolazione sono due. Quella più recente usa l’estensione .azov per i file modificati. Come detto, nonostante venga chiesto un riscatto, non c’è nessuna possibilità di recuperare i file.
I file vengono “distrutti” sovrascrivendo un blocco di 666 byte con dati casuali in modo intermittente (uno sì e uno no) fino al limite di 4 GB. Il wiper ha inoltre funzionalità di backdoor. Inietta codice infetto in vari file eseguibili che, quando sono lanciati, avviano Azov. Non mancano tecniche di offuscamento che complicano l’analisi del codice da parte degli esperti.
Il primo consiglio è ovviamente quello di effettuare frequenti backup offline. Inoltre devono essere installati tutti gli aggiornamenti dei software e utilizzata una soluzione di sicurezza che rileva questo tipo di malware.
Ti potrebbe interessare
14 dic 2022