Un actor de amenazas relativamente nuevo llamado Azov ransomware está borrando los sistemas de las víctimas y acusando a destacados investigadores de seguridad de ser los culpables.
Si bien todos esos investigadores se defendieron contra él, también advirtieron que no hay forma de que una víctima del ransomware Azov pueda recuperar sus archivos. Y es porque la pandilla no comparte de todos modos para contactarlos y no exige un rescate.
Azov Ransomware-cum-Data Wiper
Como hemos visto en el pasado, un nuevo grupo de ransomware llamado Azov ahora está acusando a conocidos investigadores y empresas de seguridad de ser los culpables de sus operaciones, lo que genera confusión en la comunidad.
Anulando esas afirmacioneslos investigadores enmarcados dijeron que el ransomware Azov se propaga a través de cargador de humo – una botnet que vende o alquila el acceso a su sistema infectado con troyanos para implementar otro malware. Los actores de ransomware compran dichos puntos de acceso e implementan su malware de ransomware.
SmokeLoader, a cambio, golpea a las víctimas a través de software descifrado, modificaciones del juego, trampas y generadores de claves. Con esto, el ransomware Azov encripta la máquina del objetivo y deja una nota de rescate llamada RESTORE_FILES.txt en todas las carpetas encriptadas.
Si bien no hay información de contacto en esas notas de rescate, la pandilla Azov menciona ciertos investigadores y empresas de seguridad (Hasherazade, BleepingComputer, MalwareHunterTeam, Michael Gillespie y Vitali Kremez en este caso) como culpables.
Esta cosa comenzó a extenderse hace aproximadamente 2 semanas.
Uno de los métodos de propagación (¿o el único?) de esta mierda parece que alguien acaba de comprar instalaciones en las redes de distribución de malware/redes de bots que se utilizan para propagar algunos ladrones, el ransomware STOP/Djvu, etc.
😂
😫
(1/X) https://t.co/ndcDyoHDTv pic.twitter.com/3Y4vw1LlZq— MalwareHunterTeam (@malwrhunterteam) 30 de octubre de 2022
Se les pide a las víctimas de este ransomware que se comuniquen con los investigadores mencionados anteriormente para obtener las claves de descifrado, que niegan tener. Mientras analizan el malware de cifrado del ransomware para encontrar lagunas, debe saber que el ransomware Azov también está implementando un malware de limpieza al lado.
¡Esto borraría todos los archivos del sistema de la víctima sin ningún motivo! Además, las víctimas también deben darse cuenta de que pueden estar doblemente infectadas con otro malware, ya que SmokeLoader está implementando el malware de robo de información RedLine y el ransomware STOP junto con el ransomware Azov.
Mientras fanfarronea sobre los culpables, el ransomware Azov cita que sus operaciones son el resultado de la toma de Crimea y porque los países occidentales no están haciendo lo suficiente para ayudar a Ucrania en su guerra contra Rusia.
