Die Avaddon-Ransomware-Gruppe, eine der produktivsten Ransomware-Gruppen im Jahr 2021, hat angekündigt, den Betrieb einzustellen und Tausenden von Opfern ein kostenloses Entschlüsselungstool zur Verfügung zu stellen.
Lawrence Abrams von BleepingComputer sagte, er habe eine anonyme E-Mail mit einem Passwort und einem Link zu einer ZIP-Datei namens “Decryption Keys Ransomware Avaddon” erhalten.
Die Datei enthielt Entschlüsselungsschlüssel für 2.934 Opfer der Avaddon-Ransomware. Die erstaunliche Zahl ist ein weiteres Beispiel dafür, wie viele Unternehmen Angriffe nie offenlegen, da einige Berichte zuvor nur 88 Angriffe auf Avaddon zurückgeführt haben.
Abrams arbeitete mit Fabian Wosar, Chief Technology Officer von Emsisoft und Michael Gillespie von Coveware, zusammen, um die Dateien zu überprüfen und die Entschlüsselungsschlüssel zu überprüfen. Emsisoft hat ein kostenloses Tool entwickelt, mit dem Avaddon-Opfer Dateien entschlüsseln können.
Ransomware-Gangs – wie die hinter Crysis, AES-NI, Shade, FilesLocker, Ziggy – haben zeitweise Entschlüsselungsschlüssel freigegeben und aus verschiedenen Gründen geschlossen. Ein kostenloses Avaddon-Entschlüsselungstool wurde im Februar von einem Studenten in Spanien veröffentlicht, aber die Bande aktualisierte schnell ihren Code, um ihn wieder narrensicher zu machen.
“Dies ist nicht neu und nicht ohne Vorrang. Mehrere Ransomware-Bedrohungsakteure haben die Schlüsseldatenbank oder die Hauptschlüssel freigegeben, wenn sie sich entscheiden, ihren Betrieb einzustellen”, sagte Wosar gegenüber ZDNet.
“Letztendlich deutet die Schlüsseldatenbank, die wir erhalten haben, darauf hin, dass sie mindestens 2.934 Opfer hatten. Angesichts des durchschnittlichen Avaddon-Lösegeldes von etwa 600.000 US-Dollar und der durchschnittlichen Zahlungsraten für Ransomware können Sie wahrscheinlich eine anständige Schätzung abgeben, wie viel Avaddon generiert hat.”
Wosar fügte hinzu, dass die Leute hinter Avaddon wahrscheinlich genug Geld mit Ransomware verdient hätten, dass sie keinen Grund hätten, weiterzumachen.
Laut Wosar haben Lösegeld-Verhandlungsführer in den letzten Wochen eine Dringlichkeit im Umgang mit Avaddon-Betreibern festgestellt. Die Verhandlungsführer der Gang geben “sofort selbst den magersten Gegenangeboten der letzten Tage nach.”
“Dies würde also darauf hindeuten, dass dies eine geplante Stilllegung und Einstellung des Betriebs war und die beteiligten Personen nicht überrascht hat”, erklärte Wosar.
Daten von RecordedFuture haben gezeigt, dass Avaddon für fast 24 % aller Ransomware-Vorfälle seit dem Angriff auf die Colonial Pipeline im Mai verantwortlich war. Ein eSentire-Bericht über Ransomware besagt, dass Avaddon erstmals im Februar 2019 gesehen wurde und als Ransomware-as-a-Service-Modell betrieben wurde, wobei die Entwickler den Partnern verhandelbare 65 % aller Lösegelder geben.
„Die Bedrohungsakteure von Avaddon sollen ihren Opfern auch rund um die Uhr Unterstützung und Ressourcen beim Kauf von Bitcoin, beim Testen von Dateien zur Entschlüsselung und anderen Herausforderungen bieten, die Opfer daran hindern könnten, das Lösegeld zu zahlen“, heißt es in dem Bericht.
„Das Interessante an dieser Ransomware-Gruppe ist das Design ihrer Dark Web-Blog-Site. Sie behaupten nicht nur, vollständige Dumps der Dokumente ihrer Opfer bereitzustellen, sondern verfügen auch über eine Countdown-Uhr, die anzeigt, wie viel Zeit jedem Opfer noch zum Bezahlen bleibt. Und um ihren Opfern noch mehr die Arme zu verdrehen, drohen sie mit DDoS auf ihrer Website, wenn sie nicht sofort zu zahlen bereit sind.”
DomainTools Die Gruppe hat eine lange Liste prominenter Opfer, darunter Henry Oil & Gas, der europäische Versicherungsriese AXA, das Computerhardwareunternehmen EVGA, das Softwareunternehmen Vistex, der Versicherungsmakler Letton Percival, die Flughafengesellschaft der indonesischen Regierung PT Angkasa Pura I, Acer Finance und Dutzende von Gesundheitsorganisationen wie Bridgeway Senior Healthcare in New Jersey, Capital Medical Center in Olympia, Washington und andere.
Die Bande hat sich zur Kenntnis genommen, die bei Ransomware-Angriffen gestohlenen Daten auf ihrer dunklen Website zu veröffentlichen, sagte der DomainTools-Forscher Chad Anderson im vergangenen Monat gegenüber ZDNet.
Sowohl das FBI als auch das Australian Cyber Security Center haben letzten Monat Mitteilungen veröffentlicht, die Gesundheitseinrichtungen vor der Bedrohung durch Avaddon-Ransomware warnen.
Australian Cyber Security Center
In der Mitteilung heißt es: „Avaddon-Bedrohungsakteure fordern eine Lösegeldzahlung über Bitcoin (BTC) mit einer durchschnittlichen Nachfrage von 0,73 BTC (ca /p>
Die Gruppe war nach Angaben des Australian Cyber Security Centre auch in mehrere Angriffe auf Fertigungsunternehmen in Südamerika und Europa verwickelt.
Das Cybersicherheitsunternehmen Flashpoint sagte, dass Avaddon neben REvil, LockBit und Conti eine der produktivsten Ransomware-Gruppen ist, die derzeit aktiv sind.
Das Photon-Forschungsteam von Digital Shadows teilte ZDNet im Mai mit, dass ein Vertreter des Forums für die Avaddon-Ransomware das Exploit-Forum besuchte, um neue Regeln für verbundene Unternehmen bekannt zu geben, die Verbote für die Zielgruppe “Öffentlichkeit, Bildung, Gesundheitswesen und Wohltätigkeitsorganisationen” beinhalteten.
Die Gruppe verbot auch verbundenen Unternehmen, Russland oder andere GUS-Staaten anzugreifen. US-Präsident Joe Biden wird den russischen Präsidenten Wladimir Putin voraussichtlich bei einem Gipfeltreffen in Genf am 16. Juni wegen Ransomware-Angriffen unter Druck setzen.
Ransomware ist jetzt die größte Cybersicherheitsbedrohung
Einfache Angriffe plus die Bereitschaft der Benutzer, Lösegeld zu zahlen, um ihre Dateien zurückzubekommen, bedeutet, dass Ransomware auf dem Vormarsch, warnen Sie Kaspersky-Forscher.
Weiterlesen
Verwandte Themen:
Datenmanagement-Sicherheit TV CXO-Rechenzentren 