Azov

Azovってなんでしょう。
Azovは感染環境に脅迫文の記載されたファイルを配置します。
そしてそこにあるファイルを暗号化し、ファイルの拡張子をAzovにします。
この動きからするとAzovはランサムウェアです。

• 配布経路
  被害者に自分でダウンロードさせるパターンです。
  海賊版ソフトウェア、キージェネレーター、アドウェアに混ぜ込んで配布します。
• マルウェアの実施すること
  感染環境のファイルを暗号化します。
  そして、ファイルの拡張子をAzovにします。
  そして脅迫文を配置します。
  これはランサムウェアの動きといえます。
• 脅迫文の内容
  ウクライナを支援するためにこれを行っていると主張している内容になっています。
  脅迫文の中に、いくつかのマルウェア研究者などの名前が列挙されています。
  感染したらそれらの宛先に連絡するように記載があります。
  しかしこの列挙された名前の人たちのどれも攻撃者ではありません。

脅迫文に記載のある名前のどれも攻撃者ではないというのはどういうことでしょう。
被害者がお金を支払ってでも復元したいと考えたとしましょう。
でもお金を支払う先がないのです。
つまり、被害者は攻撃者の支援を受けることなく自分で暗号を解いてファイルを復元する必要があります。

ちなみに、このAzovはSmokeLoaderで配布されています。
海賊版ソフトウェア、キー ジェネレーター、アドウェアに混ぜ込んで配布されている一段目のマルウェアはSmokeLoaderです。
そしてSmokeLoaderがAzovを配布します。
SmokeLoaderはAzovだけを配布するものではありませんでした。
SmokeLoaderはSTOPランサムウェアも配布しています。
どういうことでしょう。
被害者の環境はAzovで暗号化されたうえにSTOPランサムウェアで暗号化されるようなことになってしまっているのです。
これはさらに凶悪です。
被害者環境は二重に暗号化されてしまった状態になるというのです。

Azovは暗号化して脅迫しますが、復元の方法を提供しません。
この意味で、Azovはランサムウェアではありません。
悪質なデータ破壊ツールといえます。

配布経路にアドウェアまでありますのでどこまで注意しきれるかわかりませんが、少なくとも海賊版ソフトウェアやキージェネレーターには手を出さないほうがよさそうです。

11/4は、ほぼこもセキュリティニュースはお休みです。
次の更新は2022/11/7以降です。

参考記事（外部リンク）：New Azov data wiper tries to frame researchers and
BleepingComputer
www.bleepingcomputer.com/news/security/new-azov-data-wiper-tries-to-frame-researchers-and-bleepingcomputer/