Negli ultimi giorni sono stati effettuati diversi attacchi con il nuovo ransomware Azov da parte di ignoti cybercriminali. Si tratta in realtà di un wiper perché i file vengono “distrutti” e non possono essere più recuperati. Per qualche strano motivo, gli autori scrivono che il malware è stato creato da alcuni ricercatori di sicurezza, tra cui il proprietario del noto sito BleepingComputer.
Azov cifra i file, ma non esiste il decryptor
Come avviene per tutti i ransomware, Azov copia nelle directory un file di testo al termine dell’operazione di cifratura dei file. Le vittime devono seguire le istruzioni indicate per pagare il riscatto e ricevere il tool che permette di recuperare i file. Nel testo di Azov sono elencati gli account Twitter da contattare, tra cui quelli di noti ricercatori di sicurezza. Alcuni utenti hanno già inviato richieste di aiuto al sito BleepingComputer, ma al momento non c’è nessun modo per decifrare i file.
Secondo gli esperti di MalwareHunterTeam, la campagna è stata avviata circa due settimane fa. I cybercriminali hanno usato SmokeLoader per distribuire Azov. SmokeLoader viene a sua volta distribuito tramite siti che pubblicano software pirata, crack e keygen.
This thing started to spread about 2 weeks ago already.
One of the spreading methods (or the only one?) of this shit looks someone just bought installs in the malware distribution networks / botnets that are used to spread some stealers, the STOP/Djvu ransomware, etc.
?
?
(1/X) https://t.co/ndcDyoHDTv pic.twitter.com/3Y4vw1LlZq— MalwareHunterTeam (@malwrhunterteam) October 30, 2022
Negli ultimi giorni, oltre ad Azov sono stati distribuiti anche il ransomware STOP e il noto info-stealer RedLine. Il wiper cifra tutti i file, ad eccezione di quelli con estensione .ini
, .dll
e .exe
, quindi aggiunge l’estensione .azov
. Come detto, i file non possono essere recuperati perché non esiste il decryptor.
I ricercatori di sicurezza sono al lavoro per trovare eventuali bug nel codice e quindi un modo per ripristinare i file. Per evitare simili minacce è sempre consigliata l’installazione di un antivirus.