El ransomware Azov que anteriormente incriminó a los investigadores de seguridad en sus operaciones ha sido detallado por un investigador de Checkpoint sobre cómo funciona.
Describió cómo funciona la corrupción de datos y varias referencias atribuidas a su maldad. Él, al igual que otros investigadores, advirtió que no hay remedio para que alguien se infecte con el ransomware Azov. Sin embargo, sugirió cosas que se deben hacer para estar seguro.
Modus operandi del ransomware Azov
Como se informó anteriormente, los autores del ransomware Azov están utilizando SmokeLoader para distribuir su malware, que se presenta en varias formas, como software o juegos pirateados. Cuando se implementa, el malware ransomware corromperá los datos del sistema y dejará una nota de rescate, donde enumera a un grupo de investigadores de seguridad como su pandilla.
Pidiendo a los investigadores preocupados que busquen ayuda, aunque no estén asociados, la pandilla Azov no pide rescate por descifrar sus archivos. En cambio, había configurado un malware de limpieza de datos para borrar todas las cosas infectadas.dice Jiří Vinopalinvestigador de Checkpoint Security.
Detalló cómo funciona el ransomware desde su implementación inicial a través de SmokeLoader, y un borrador configurado para activarse solo el 27 de octubre de 2022, a las 10:14:30 a. m. UTC. Muchas víctimas ya han incluido este malware en VirusTotal al momento de escribir esto.
Vinopal dijo que El ransomware Azov sobrescribiría el contenido de un archivo y corrompería los datos alternando fragmentos de datos basura de 666 bytes, lo que hace que todo el archivo sea inútil, aunque la mitad del contenido esté intacto. El uso del número 666 en su procedimiento de corrupción de datos está relacionado con el ‘Diablo’ bíblico, que muestra la intención maliciosa del actor de amenazas.
echamos un vistazo a #Azov #Secuestro de datos – un nuevo limpiador de datos destructivo:
– Fabricado manualmente en ensamblaje usando FASM
– Sobrescritura intermitente de subprocesos múltiples (bucle de 666 bytes) del contenido de datos original
– Limpiador de datos efectivo, rápido y, lamentablemente, irrecuperable pic.twitter.com/RGgscpSYXE— Investigación de Check Point (@_CPResearch_) 2 de noviembre de 2022
Aparte de esto, También se dice que el malware está configurando una ‘puerta trasera’ para permitir otros ejecutables de 64 bits en el dispositivo Windows comprometido. Esta ruta se puede utilizar para destruir aún más el sistema, según se desee.
Los investigadores anularon anteriormente los vínculos de este grupo de ransomware con el del ejército ucraniano (ya que Azov es el nombre de un regimiento militar ucraniano ‘Azov’), a pesar de que está usando su nombre. Es común que algunos actores de amenazas usen otros nombres para confundir a los investigadores o generar un impacto falso.
Si bien no está claro por qué el actor de amenazas está gastando dinero para distribuir un borrador de datos, Los investigadores advirtieron que el limpiaparabrisas aún no tiene remedio. Por lo tanto, los usuarios deben estar atentos al uso de software descifrado y versiones pirateadas de cualquier cosa de la web y evitar el riesgo de infectarse.
