Il gruppo ransomware Avaddon, uno dei gruppi di ransomware più prolifici nel 2021, ha annunciato che sta chiudendo l'operazione e sta offrendo a migliaia di vittime uno strumento di decrittazione gratuito.
Lawrence Abrams di BleepingComputer ha affermato di aver ricevuto un'e-mail anonima con una password e un collegamento a un file ZIP denominato “Decryption Keys Ransomware Avaddon”.
Il file aveva chiavi di decrittazione per 2.934 vittime del ransomware Avaddon. La cifra sorprendente è un altro esempio di quante organizzazioni non rivelano mai attacchi, poiché alcuni rapporti hanno precedentemente attribuito solo 88 attacchi ad Avaddon.
Abrams ha collaborato con il chief technology officer di Emsisoft Fabian Wosar e Michael Gillespie di Coveware per controllare i file e verificare le chiavi di decrittazione. Emsisoft ha creato uno strumento gratuito che le vittime di Avaddon possono utilizzare per decrittografare i file.
I gruppi di ransomware, come quelli dietro Crysis, AES-NI, Shade, FilesLocker, Ziggy, a volte hanno rilasciato chiavi di decrittazione e si sono chiusi per una serie di motivi. Uno studente in Spagna a febbraio ha rilasciato uno strumento di decrittazione Avaddon gratuito, ma la banda ha rapidamente aggiornato il proprio codice per renderlo nuovamente infallibile.
“Questo non è nuovo e non è senza precedenti. Diversi responsabili delle minacce ransomware hanno rilasciato il database delle chiavi o le chiavi principali quando decidono di chiudere le loro operazioni”, ha detto Wosar a ZDNet.
“In definitiva, il database delle chiavi che abbiamo ottenuto suggerisce che hanno avuto almeno 2.934 vittime. Dato il riscatto medio Avaddon di circa $ 600.000 e le tariffe di pagamento medie per il ransomware, probabilmente puoi ottenere una stima decente di quanto Avaddon ha generato.” p>
Wosar ha aggiunto che le persone dietro Avaddon avevano probabilmente guadagnato abbastanza soldi facendo ransomware da non avere motivo di continuare.
Secondo Wosar, nelle ultime settimane i negoziatori di riscatto hanno notato un'urgenza quando hanno a che fare con gli operatori di Avaddon. I negoziatori con la banda stanno cedendo “istantaneamente anche alle più misere contro offerte degli ultimi due giorni”.
“Quindi questo suggerirebbe che si è trattato di un arresto pianificato e di una chiusura delle operazioni e non ha sorpreso le persone coinvolte”, ha spiegato Wosar.
I dati di RecordedFuture hanno mostrato che Avaddon ha rappresentato quasi il 24% di tutti gli incidenti ransomware dall'attacco a Colonial Pipeline a maggio. Un rapporto di eSentire sul ransomware afferma che Avaddon è stato visto per la prima volta nel febbraio 2019 e ha operato come un modello ransomware-as-a-service, con gli sviluppatori che hanno concesso agli affiliati un negoziabile 65% di tutti i riscatti.
“Si dice anche che gli attori delle minacce Avaddon offrano alle loro vittime supporto e risorse 24 ore su 24, 7 giorni su 7, per l'acquisto di Bitcoin, il test dei file per la decrittazione e altre sfide che potrebbero impedire alle vittime di pagare il riscatto”, afferma il rapporto.
“La cosa interessante di questo gruppo di ransomware è il design del suo sito blog Dark Web. Non solo affermano di fornire dump completi dei documenti delle loro vittime, ma dispongono anche di un conto alla rovescia, che mostra quanto tempo rimane da pagare a ciascuna vittima. E per torcere ulteriormente le braccia delle loro vittime, minacciano di DDoS il loro sito web se non accettano di pagare immediatamente”.
DomainTools Il gruppo ha un lungo elenco di vittime importanti che includono Henry Oil & Gas, il colosso assicurativo europeo AXA, la società di hardware per computer EVGA, la società di software Vistex, il broker assicurativo Letton Percival, la compagnia aeroportuale del governo indonesiano PT Angkasa Pura I, Acer Finance e decine di organizzazioni sanitarie come Bridgeway Senior Healthcare nel New Jersey, Capital Medical Center a Olimpia, Washington e altri.
La banda ha preso nota della pubblicazione dei dati rubati durante gli attacchi ransomware sul suo sito web oscuro, ha detto il mese scorso a ZDNet il ricercatore di DomainTools Chad Anderson.
Sia l'FBI che l'Australian Cyber Security Center hanno pubblicato il mese scorso avvisi che avvertono le istituzioni sanitarie della minaccia del ransomware Avaddon.
Centro di sicurezza informatica australiano
L'avviso diceva “Gli attori delle minacce Avaddon richiedono il pagamento del riscatto tramite Bitcoin (BTC), con una richiesta media di BTC 0,73 (circa $ 40.000 USD) con il richiamo di uno strumento di decrittazione offerto (“Avaddon General Decryptor”) se viene effettuato il pagamento.”< /p>
Il gruppo è stato anche implicato in molteplici attacchi contro aziende manifatturiere in Sud America ed Europa, secondo l'Australian Cyber Security Centre.
La società di sicurezza informatica Flashpoint ha affermato che insieme a REvil, LockBit e Conti, Avaddon era uno dei gruppi di ransomware più prolifici attualmente attivi.
Il Photon Research Team di Digital Shadows ha dichiarato a ZDNet a maggio che un rappresentante del forum per il ransomware Avaddon si è rivolto al forum Exploit per annunciare nuove regole per gli affiliati che includevano il divieto di prendere di mira “i settori pubblico, dell'istruzione, della sanità e della beneficenza”.
Il gruppo ha anche vietato agli affiliati di attaccare la Russia o qualsiasi altro paese della CSI. Il presidente degli Stati Uniti Joe Biden dovrebbe esercitare pressioni sul presidente russo Vladimir Putin sugli attacchi ransomware durante un vertice a Ginevra il 16 giugno.
Il ransomware è ora la più grande minaccia per la sicurezza informatica
Attacchi semplici più la disponibilità dell'utente a pagare un riscatto per riavere i propri file significa che il ransomware è in aumento, avvertono i ricercatori di Kaspersky.
Ulteriori informazioni
Argomenti correlati:
Data Management Security TV CXO Data Center 