Avaddon ransomware-gruppen, en av de mest produktive ransomware-gruppene i 2021, har kunngjort at de stenger driften og gir tusenvis av ofre et dekrypteringsverktøy gratis.
BleepingComputers Lawrence Abrams sa at han fikk tilsendt en anonym e-post med passord og lenke til en ZIP-fil med navnet “Decryption Keys Ransomware Avaddon.”
Filen hadde dekrypteringsnøkler for 2934 ofre for Avaddon-løsepenger. Den oppsiktsvekkende figuren er et annet eksempel på hvor mange organisasjoner som aldri avslører angrep, ettersom noen rapporter tidligere har tilskrevet bare 88 angrep til Avaddon.
Abrams jobbet med Emsisofts teknologisjef Fabian Wosar og Covewares Michael Gillespie for å kontrollere filene og verifisere dekrypteringsnøklene. Emsisoft opprettet et gratis verktøy som Avaddon-ofre kan bruke til å dekryptere filer.
Ransomware-gjenger – som de som ligger bak Crysis, AES-NI, Shade, FilesLocker, Ziggy – har til tider gitt ut dekrypteringsnøkler og stengt av en rekke årsaker. Et gratis Avaddon-dekrypteringsverktøy ble gitt ut av en student i Spania i februar, men gjengen oppdaterte raskt koden for å gjøre den idiotsikker igjen.
“Dette er ikke nytt og har ingen forrang. Flere ransomware-trusselaktører har gitt ut nøkkeldatabasen eller hovednøklene når de bestemmer seg for å legge ned driften,” sa Wosar til ZDNet.
“Til slutt antyder nøkkeldatabasen vi fikk, at de hadde minst 2 934 ofre. Gitt det gjennomsnittlige Avaddon-løsepenger på rundt $ 600 000 og gjennomsnittlige betalingssatser for løsepenger, kan du sannsynligvis komme med et anstendig estimat på hvor mye Avaddon genererte.”
Wosar la til at menneskene bak Avaddon sannsynligvis hadde tjent nok penger på å gjøre løsepenger til at de ikke hadde noen grunn til å fortsette.
Ifølge Wosar har løsesumforhandlere lagt merke til at det haster når de har kontakt med Avaddon-operatører de siste ukene. Forhandlere med gjengen sperrer “øyeblikkelig til selv de mest magre mottilbudene de siste par dagene.”
“Så dette antyder at dette har vært en planlagt nedleggelse og avvikling av driften og ikke overrasket de involverte,” forklarte Wosar.
Data fra RecordedFuture har vist at Avaddon stod for nesten 24% av alle hendelser i løsepenger siden angrepet på Colonial Pipeline i mai. En eSentire-rapport om ransomware sa at Avaddon først ble sett i februar 2019 og fungerte som en ransomware-as-a-service-modell, hvor utviklerne ga tilknyttede selskaper 65% av alle løsepenger.
“Avaddon-trusselaktørene sies også å tilby sine ofre 24/7 støtte og ressurser på å kjøpe Bitcoin, teste filer for dekryptering og andre utfordringer som kan hindre ofrene i å betale løsepenger,” heter det i rapporten.
“Det som er interessant med denne ransomwaregruppen er utformingen av Dark Web-bloggsiden. De hevder ikke bare å gi full dump av ofrenes dokumenter, men de har også en nedtellingsklokke som viser hvor lang tid hvert offer har igjen å betale. Og for ytterligere å vri armene på ofrene, truer de med å DDoS deres nettside hvis de ikke godtar å betale umiddelbart. ”
DomainTools
Gruppen har en lang liste over fremtredende ofre som inkluderer Henry Oil & amp; Gas, europeisk forsikringsgigant AXA, maskinvareselskap EVGA, programvareselskap Vistex, forsikringsmegler Letton Percival, den indonesiske regjeringens flyselskap PT Angkasa Pura I, Acer Finance og dusinvis av helseorganisasjoner som Bridgeway Senior Healthcare i New Jersey, Capital Medical Center i Olympia, Washington og andre.
Gjengen noterte seg å publisere dataene som ble stjålet under ransomware-angrep på det mørke nettstedet, sa DomainTools-forsker Chad Anderson til ZDNet i forrige måned.
Både FBI og Australian Cyber Security Center ga ut kunngjøringer i forrige måned som advarte helseinstitusjoner om trusselen om Avaddon-ransomware.
Australian Cyber Security Center
Innkallingen sa “Avaddon-trusselaktører krever løsepengerbetaling via Bitcoin (BTC), med en gjennomsnittlig etterspørsel på BTC 0,73 (omtrent USD 40 000 USD) med lokke av et dekrypteringsverktøy som tilbys (” Avaddon General Decryptor “) hvis betaling skjer.”
Gruppen var også involvert i flere angrep på produksjonsbedrifter over hele Sør-Amerika og Europa, ifølge Australian Cyber Security Center.
Cybersecurity-firmaet Flashpoint sa at sammen med REvil, LockBit og Conti var Avaddon en av de mest produktive ransomwaregruppene som er aktive for tiden.
Digital Shadows 'Photon Research Team fortalte ZDNet i mai at en forumrepresentant for Avaddon-løseprogrammet tok til Exploit-forumet for å kunngjøre nye regler for tilknyttede selskaper som inkluderte forbud mot å målrette “sektorene offentlig, utdanning, helsetjenester og veldedighet.”
Gruppen forbød også tilknyttede selskaper å angripe Russland eller andre SNG-land. USAs president Joe Biden forventes å presse Russlands president Vladimir Putin på ransomware-angrep på et toppmøte i Genève 16. juni.
Ransomware er nå den største cybersikkerhetstrusselen
Enkle angrep pluss brukervilje til å betale løsepenger for å få tilbake filene sine betyr at ransomware er på vei opp, advarer Kaspersky-forskere.
Les mer
Beslektede emner:
Data Management Security TV CXO Data Centers 