I ricercatori di Check Point hanno condiviso la loro analisi di Azov, un malware definito efficace, rapido e in grado di cancellare i dati in modo irreversibile.
Si tratta, infatti, di un malware di tipo "data wiper" che, dopo aver distrutto in modo permanente i contenuti del sistema colpito, rilascia una nota simile a quanto riscontrato di solito con i ransomware.
La nota cita un noto esperto di cybersicurezza polacco noto come hasherezade, e ha un connotato politico, dato che accusa l'occidente di non aver fatto abbastanza per aiutare l'Ucraina nel conflitto contro la Russia, citando anche il presidente USA Joe Biden. La nota sostiene che Biden non voglia fornire supporto all'Ucraina, concludendo con l'hashtag #TaiwanIsChina.
L'aspetto curioso è che all'inizio del file, viene usato il termine "ransomware", tuttavia Azov è un sofisticato data wiper, che non offre alcun modo di recuperare i dati colpiti.
Innanzitutto, Azov è scritto in assembly, un linguaggio di programmazione a basso livello, abbastanza complesso da utilizzare ma che rende il malware ancora più efficace. Proprio come i virus nella loro accezione storica, Azov modifica i file aggiungendo in questo caso del codice polimorfico agli eseguibili a 64 bit della backdoor.
I file vengono cancellati in blocchi di 666 byte, tramite sovrascrittura con dati casuali, mentre viene lasciato intatto un blocco delle stesse dimensioni, tutto questo tramite una variabile locale non inizializzata "char buffer[666]". Una vera e propria "bomba logica" impostata per innescarsi in momenti precisi, per poi iterarsi su tutte le directory contenenti file a cui viene applicata la routine di cancellazione, fatta eccezione per alcuni percorsi di sistema ed estensioni di file specifici.
La sua diffusione è altrettanto preoccupante: in un mese, VirusTotal ha ricevuto più di 17 mila eseguibili con backdoor relativamente a questo malware.
