Questo malware distrugge i dati e dà la colpa a ricercatori noti

Azov Ransomware in realtà è un data wiper che accusa noti ricercatori di sicurezza nel tentativo di screditarli, mentre distrugge tutti i dati

Avatar di Marco Doria

a cura di Marco Doria

Negli ultimi giorni, è stata scoperta una campagna malware che prevede l'uso di un nuovo ransomware chiamato "Azov". In realtà, Azov Ransomware, che prende il nome dal controverso regimento ucraino Azov, accusato di essere vicino all'ideologia neo-nazista, è un data wiper che distrugge i dati colpiti anziché bloccarli con crittografia.

Inoltre, quando colpisce, Azov Ransomware rilascia una nota in cui si dichiara l'appartenenza del progetto a una noto ricercatrice di sicurezza nota come Hasherazade e ad altri esperti di sicurezza, fra cui Lawrence Abrams, proprietario e caporedattore del famoso blog sulla cybersicurezza BleepingComputer.

La nota di riscatto indica anche che l'azione è stata intrapresa dai responsabili dell'attacco come forma di protesta contro la conquista della Crimea e come accusa ai Paesi occidentali, colpevoli di non aver fatto abbastanza per sostenere l'Ucraina nel conflitto contro la Russia.

Entrambe le cose, però risultano false. Innanzitutto, Hasherazade ha chiarito immediatamente che nessuno dei soggetti nominati dal file RESTORE_FILES.txt è coinvolto nell'operazione (d'altronde si tratta di professionisti noti e affermati nel loro campo, ovvero la ricerca di sicurezza, il cui lavoro consiste anche nell'analizzare le minacce online al fine di neutralizzarle), inoltre sembra che l'attacco abbia colpito anche un bersaglio ucraino, il che contrasta con quanto affermato nella nota.

Gli autori della campagna, poi, hanno utilizzato una botnet malware nota come SmokeLoader, che i criminali informatici possono noleggiare o acquistare in pacchetti di installazioni per la distribuzione dei propri malware.

Da quanto emerso dalle analisi di BleepingComputer, le vittime dell'attacco subiscono una doppia crittografia, prima da parte di Azov e poi da STOP, un altro ransomware abbastanza noto nell'ambito della cybersicurezza.

La nota invita gli utenti a contattare BleepingComputer o gli altri ricercatori nominati al suo interno, che però non dispongono della chiave di crittografia in quanto estranei alla vicenda, di conseguenza, alle vittime non viene fornito alcun mezzo reale per recuperare l'accesso ai propri dati, che invece vengono irrimediabilmente compromessi.

I ricercatori stanno analizzando il ransomware in cerca di possibili vulnerabilità da sfruttare per recuperare i dati, ma al momento ne è stata confermato il livello distruttivo.

BleepingComputer pubblicherà gratuitamente un eventuale strumento correttivo, ma nel frattempo invita chiunque abbia il sospetto di aver subito un attacco da Azov (cancellazione dei dati, con rischio di ulteriori infezioni da parte di trojan infostealer) a cambiare immediatamente tutte le password relative ai propri servizi online, in particolare per gli account più delicati, come home banking, password manager e account di posta elettronica.