Avaddon ransomware-gruppen, en av de mest produktiva ransomware-grupperna 2021, har meddelat att de stänger av verksamheten och ger tusentals offer ett dekrypteringsverktyg gratis.
BleepingComputers Lawrence Abrams sa att han fick ett anonymt e-postmeddelande med ett lösenord och en länk till en ZIP-fil med namnet “Decryption Keys Ransomware Avaddon.”
Filen hade dekrypteringsnycklar för 2 934 offer för Avaddon-ransomware. Den häpnadsväckande siffran är ett annat exempel på hur många organisationer aldrig avslöjar attacker, eftersom vissa rapporter tidigare tillskrivit Avaddon bara 88 attacker.
Abrams arbetade med Emsisofts teknologchef Fabian Wosar och Covewares Michael Gillespie för att kontrollera filerna och verifiera dekrypteringsnycklarna. Emsisoft skapade ett gratis verktyg som Avaddons offer kan använda för att dekryptera filer.
Ransomware-gäng – som de bakom Crysis, AES-NI, Shade, FilesLocker, Ziggy – har ibland släppt dekrypteringsnycklar och stängts av av olika skäl. Ett gratis Avaddon-dekrypteringsverktyg släpptes av en student i Spanien i februari men gänget uppdaterade snabbt sin kod för att göra den idiotsäker igen.
“Det här är inte nytt och har inget företräde. Flera aktörer med ransomware hot har släppt nyckeldatabasen eller huvudnycklarna när de bestämmer sig för att stänga av sin verksamhet”, sa Wosar till ZDNet.
“I slutändan föreslår nyckeldatabasen vi fick att de hade minst 2 934 offer. Med tanke på den genomsnittliga Avaddon-lösensumman på cirka 600 000 dollar och de genomsnittliga betalningsnivåerna för ransomware kan du förmodligen komma med en anständig uppskattning av hur mycket Avaddon genererade.”
Wosar tillade att folket bakom Avaddon förmodligen hade tjänat tillräckligt med pengar för att göra ransomware för att de inte hade någon anledning att fortsätta.
Enligt Wosar har lösenförhandlare märkt att det är brådskande när de har kontakt med Avaddon-operatörer under de senaste veckorna. Förhandlare med gänget bevakar “direkt till och med de mest magra erbjudanden under de senaste dagarna.”
“Så detta skulle föreslå att detta har varit en planerad avstängning och avveckling av verksamheten och inte överraskade de involverade,” förklarade Wosar.
Data från RecordedFuture har visat att Avaddon stod för nästan 24% av alla ransomware-incidenter sedan attacken mot Colonial Pipeline i maj. En eSentire-rapport om ransomware sa att Avaddon först sågs i februari 2019 och fungerade som en ransomware-as-a-service-modell, där utvecklarna gav medlemsförbund 65% av alla lösen.
“Avaddons hotaktörer sägs också erbjuda sina offer 24/7 support och resurser för att köpa Bitcoin, testa filer för dekryptering och andra utmaningar som kan hindra offren från att betala lösen,” heter det i rapporten.
“Det som är intressant med denna ransomwaregrupp är utformningen av dess Dark Web-bloggwebbplats. De hävdar inte bara att de tillhandahåller fulla dumpningar av sina offrets dokument utan de har också en nedräkningsklocka som visar hur mycket tid varje offer har kvar att betala. Och för att ytterligare vrida sina offrens armar hotar de att DDoS sin webbplats om de inte går med på att betala omedelbart. ”
DomainTools
Gruppen har en lång lista med framstående offer som inkluderar Henry Oil & amp; Gas, europeiska försäkringsjätten AXA, datorhårdvaruföretaget EVGA, mjukvaruföretaget Vistex, försäkringsmäklaren Letton Percival, den indonesiska regeringens flygplatsföretag PT Angkasa Pura I, Acer Finance och dussintals vårdorganisationer som Bridgeway Senior Healthcare i New Jersey, Capital Medical Center i Olympia, Washington och andra.
Gänget antecknade publiceringen av de data som stulits under ransomware-attacker på dess mörka webbplats, berättade DomainTools-forskaren Chad Anderson till ZDNet förra månaden.
Både FBI och Australian Cyber Security Center släppte meddelanden förra månaden som varnade vårdinstitutionerna om hotet med Avaddon-ransomware.
Australian Cyber Security Center
Meddelandet säger “Avaddon-hotaktörer kräver lösenbetalning via Bitcoin (BTC), med en genomsnittlig efterfrågan på BTC 0,73 (ungefär $ 40 000 USD) med lock av ett dekrypteringsverktyg som erbjuds (” Avaddon General Decryptor “) om betalning sker.”
Gruppen involverades också i flera attacker mot tillverkningsföretag i Sydamerika och Europa, enligt Australian Cyber Security Center.
Cybersäkerhetsföretaget Flashpoint sa att tillsammans med REvil, LockBit och Conti var Avaddon en av de mest produktiva ransomware-grupperna som för närvarande är aktiva.
Digital Shadows Photon Research Team berättade för ZDNet i maj att en forumrepresentant för Avaddon-ransomware gick till forumet Exploit för att tillkännage nya regler för medlemsförbund som omfattade förbud mot “allmänhet, utbildning, hälso- och välgörenhetssektorer.”
Gruppen förbjöd också medlemsförbund att attackera Ryssland eller andra OSS-länder. USA: s president Joe Biden förväntas pressa Rysslands president Vladimir Putin om ransomware-attacker vid ett toppmöte i Genève den 16 juni.
Ransomware är nu det största cybersäkerhetshotet
Enkla attacker plus användarvillighet att betala lösen för att få tillbaka sina filer betyder att ransomware är varnar Kaspersky-forskare.
Läs mer
Relaterade ämnen:
Datahantering Säkerhet TV CXO-datacenter 