Azov: nuove versioni del malware distruttore di file

Azov: nuove versioni del malware distruttore di file

Gli esperti di Check Point Software hanno descritto in dettaglio il wiper Azov che distrugge tutti i file, sovrascrivendo dati casuali.
Gli esperti di Check Point Software hanno descritto in dettaglio il wiper Azov che distrugge tutti i file, sovrascrivendo dati casuali.

Da alcune settimane sono aumentati gli attacchi effettuati con Azov. Nonostante venga pubblicizzato come ransomware, il malware è in realtà un wiper. Tutti i file modificati al termine dell’infezione non possono essere più recuperati. Lo scopo dei cybercriminali è quindi distruttivo. Gli esperti di Check Point Software hanno descritto il suo funzionamento e consigliato alcune contromisure.

Azov è un wiper, non un ransomware

Azov viene solitamente distribuito da SmokeLoader, un malware che si nasconde spesso in crack, keygen e software pirata. Il codice del wiper è polimorfico, quindi non può essere facilmente scoperto dalle firme statiche degli antivirus. A fine novembre sono stati rilevati oltre 17.000 file infetti su VirusTotal, ma le versioni di Azov in circolazione sono due. Quella più recente usa l’estensione .azov per i file modificati. Come detto, nonostante venga chiesto un riscatto, non c’è nessuna possibilità di recuperare i file.

I file vengono “distrutti” sovrascrivendo un blocco di 666 byte con dati casuali in modo intermittente (uno sì e uno no) fino al limite di 4 GB. Il wiper ha inoltre funzionalità di backdoor. Inietta codice infetto in vari file eseguibili che, quando sono lanciati, avviano Azov. Non mancano tecniche di offuscamento che complicano l’analisi del codice da parte degli esperti.

Il primo consiglio è ovviamente quello di effettuare frequenti backup offline. Inoltre devono essere installati tutti gli aggiornamenti dei software e utilizzata una soluzione di sicurezza che rileva questo tipo di malware.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 dic 2022
Link copiato negli appunti