Avaddon ransomware-gruppen, en af de mest produktive ransomware-grupper i 2021, har meddelt, at de lukker operationen og giver tusindvis af ofre et dekrypteringsværktøj gratis.
BleepingComputers Lawrence Abrams sagde, at han blev sendt en anonym e-mail med en adgangskode og et link til en ZIP-fil med navnet “Dekrypteringstaster Ransomware Avaddon.”
Filen havde dekrypteringsnøgler til 2.934 ofre for Avaddon ransomware. Den forbløffende figur er et andet eksempel på, hvor mange organisationer aldrig afslører angreb, da nogle rapporter tidligere kun har tilskrevet 88 angreb til Avaddon.
Abrams arbejdede sammen med Emsisofts teknologichef Fabian Wosar og Covewares Michael Gillespie for at kontrollere filerne og kontrollere dekrypteringsnøglerne. Emsisoft oprettede et gratis værktøj, som Avaddon-ofre kan bruge til at dekryptere filer.
Ransomware-bander – som dem bag Crysis, AES-NI, Shade, FilesLocker, Ziggy – har til tider frigivet dekrypteringsnøgler og lukket af forskellige årsager. Et gratis Avaddon-dekrypteringsværktøj blev frigivet af en studerende i Spanien i februar, men banden opdaterede hurtigt deres kode for at gøre den idiotsikker igen.
“Dette er ikke nyt og har ikke forrang. Flere ransomware-trusselsaktører har frigivet nøgledatabasen eller masternøglerne, når de beslutter at lukke deres operationer,” sagde Wosar til ZDNet.
“I sidste ende antyder den nøgledatabase, vi har fået, at de havde mindst 2.934 ofre. I betragtning af det gennemsnitlige Avaddon-løsesum på omkring $ 600.000 og de gennemsnitlige betalingssatser for ransomware, kan du sandsynligvis komme med et anstændigt skøn over, hvor meget Avaddon genererede.”
Wosar tilføjede, at folkene bag Avaddon sandsynligvis havde tjent nok penge på at gøre ransomware til, at de ikke havde nogen grund til at fortsætte.
Ifølge Wosar har løsesumforhandlere bemærket, at det haster med at beskæftige sig med Avaddon-operatører i de seneste uger. Forhandlere med banden bevæger sig “øjeblikkeligt til selv de mest beskedne modtilbud de sidste par dage.”
“Så dette antyder, at dette har været en planlagt nedlukning og afvikling af operationer og ikke overraskede de involverede,” forklarede Wosar.
Data fra RecordedFuture har vist, at Avaddon tegnede sig for næsten 24% af alle ransomware-hændelser siden angrebet på Colonial Pipeline i maj. En eSentire-rapport om ransomware sagde, at Avaddon først blev set i februar 2019 og fungeret som en ransomware-as-a-service-model, hvor udviklerne gav datterselskaber 65% af alle løsepenge.
“Avaddon-trusselsaktørerne siges også at tilbyde deres ofre 24/7 support og ressourcer til køb af Bitcoin, test af filer til dekryptering og andre udfordringer, der kan forhindre ofre i at betale løsesummen,” sagde rapporten.
“Hvad der er interessant ved denne ransomwaregruppe er designet af dens Dark Web-blogwebsite. De hævder ikke kun at give fuld dump af deres ofres dokumenter, men de har også et nedtællingsur, der viser, hvor meget tid hvert offer har tilbage til at betale. Og for yderligere at vride deres ofres arme truer de med at DDoS deres hjemmeside, hvis de ikke er enige om at betale med det samme. ”
DomainTools
Gruppen har en lang liste over fremtrædende ofre, der inkluderer Henry Oil & amp; Gas, europæisk forsikringsgigant AXA, computerhardwarevirksomhed EVGA, softwarefirma Vistex, forsikringsmægler Letton Percival, den indonesiske regerings lufthavnsselskab PT Angkasa Pura I, Acer Finance og snesevis af sundhedsorganisationer som Bridgeway Senior Healthcare i New Jersey, Capital Medical Center i Olympia, Washington og andre.
Banden noterede sig at offentliggøre de stjålne data under ransomware-angreb på sit mørke websted, fortalte DomainTools-forsker Chad Anderson til ZDNet i sidste måned.
Både FBI og det australske cybersikkerhedscenter udsendte meddelelser i sidste måned, der advarede sundhedsinstitutioner om truslen om Avaddon-ransomware.
Australian Cyber Security Center
Meddelelsen sagde “Avaddon-trusselaktører kræver løsesumbetaling via Bitcoin (BTC) med en gennemsnitlig efterspørgsel på BTC 0,73 (ca. USD 40.000 USD) med lokket af et tilbudt dekrypteringsværktøj ('Avaddon General Decryptor'), hvis betaling foretages.”
Gruppen blev også impliceret i flere angreb på fremstillingsvirksomheder i Sydamerika og Europa, ifølge det australske cybersikkerhedscenter.
Cybersikkerhedsfirmaet Flashpoint sagde, at Avaddon sammen med REvil, LockBit og Conti var en af de mest produktive ransomwaregrupper, der i øjeblikket er aktive.
Digital Shadows 'Photon Research Team fortalte ZDNet i maj, at en forumrepræsentant for Avaddon-ransomware tog til Exploit-forummet for at annoncere nye regler for tilknyttede selskaber, der omfattede forbud mod målretning mod “den offentlige sektor, uddannelse, sundhedssektoren og velgørenhedssektoren.”
Gruppen forbød også tilknyttede selskaber at angribe Rusland eller andre SNG-lande. Den amerikanske præsident Joe Biden forventes at presse den russiske præsident Vladimir Putin på ransomware-angreb ved et topmøde i Genève den 16. juni.
Ransomware er nu den største cybersikkerhedstrussel
Enkle angreb plus brugervillighed til at betale løsepenge for at få deres filer tilbage betyder, at ransomware er stigende, advarer Kaspersky-forskere.
Læs mere
Relaterede emner:
Datastyring Sikkerhed TV CXO-datacentre 