Ransomware

El Azov Ransomware continúa siendo muy distribuido en todo el mundo y ahora se ha demostrado que es un limpiador de datos (wiper) que destruye intencionalmente los datos de las víctimas e infecta otros programas.

El mes pasado, un actor de amenazas comenzó a distribuir malware llamado Azov Ransomware a través de vulnerabilidades y software crackeado que pretendía encriptar los archivos de las víctimas.

Sin embargo, en lugar de proporcionar información de contacto para negociar un rescate, la nota de rescate les decía a las víctimas que se pusieran en contacto con investigadores de seguridad y periodistas para incriminarlos como los desarrolladores del ransomware.

Como no había información de contacto y los contactos enumerados no tenían forma de ayudar a las víctimas, asumimos que el malware era un borrador de datos (wiper).

La semana pasada, el investigador de seguridad de Checkpoint, Jiří Vinopal, analizó el ransomware Azov y confirmó a BleepingComputer que el malware fue diseñado especialmente para corromper los datos.

Vinopal dice que Azov sobrescribe el contenido de un archivo y daña los datos alternando fragmentos de datos basura de 666 bytes. El número «666» se asocia comúnmente con el «Diablo bíblico», lo que muestra claramente la intención maliciosa del actor de la amenaza. «Cada ciclo se sobrescriben exactamente 666 bytes con datos aleatorios y los siguientes 666 bytes se dejan originales».

El actor de amenazas distribuye el malware a través de la red de bots Smokeloader, que se encuentra comúnmente en software pirateado y sitios de crack. En el momento de escribir este artículo, ya hay varias muestras en VirusTotal con víctimas en las últimas dos semanas.

No está claro por qué el actor de amenazas está gastando dinero para distribuir un borrador de datos. Sin embargo, las teorías van desde que se hace para encubrir otro comportamiento malicioso o simplemente para ‘trolear’ a la comunidad de ciberseguridad.

Independientemente del motivo, las víctimas que estén infectadas con Azov Ransomware no tendrán forma de recuperar sus archivos, y como otros ejecutables están infectados, deben reinstalar Windows para estar seguros.

Además, dado que Smokeloader se usa para distribuir el limpiador de datos Azov, es probable que también se instale con otro malware, como el que roba contraseñas. Por lo tanto, es esencial restablecer las contraseñas de cuentas de correo electrónico, servicios financieros u otra información confidencial.

Finalmente, aunque el ransomware lleva el nombre del regimiento militar ucraniano ‘Azov’, es probable que este malware no esté afiliado al país y solo esté usando el nombre como una bandera falsa.

Fuente y redacción: segu-info.com.ar

Compartir