Avaddon ransomware-groep, een van de meest productieve ransomware-groepen in 2021, heeft aangekondigd dat ze de operatie stopzetten en duizenden slachtoffers gratis een decoderingstool geven.
BleepingComputer's Lawrence Abrams zei dat hij een anonieme e-mail had ontvangen met een wachtwoord en een link naar een ZIP-bestand met de naam “Decryption Keys Ransomware Avaddon.”
Het bestand had decoderingssleutels voor 2.934 slachtoffers van de Avaddon-ransomware. Het verrassende cijfer is een ander voorbeeld van hoeveel organisaties aanvallen nooit openbaar maken, aangezien sommige rapporten eerder slechts 88 aanvallen aan Avaddon hebben toegeschreven.
Abrams werkte samen met Fabian Wosar, Chief Technology Officer van Emsisoft en Michael Gillespie van Coveware om de bestanden te controleren en de decoderingssleutels te verifiëren. Emsisoft heeft een gratis tool gemaakt die slachtoffers van Avaddon kunnen gebruiken om bestanden te decoderen.
Ransomware-bendes – zoals die achter Crysis, AES-NI, Shade, FilesLocker, Ziggy – hebben soms decoderingssleutels vrijgegeven en om verschillende redenen afgesloten. Een gratis Avaddon-decoderingstool werd in februari vrijgegeven door een student in Spanje, maar de bende werkte hun code snel bij om hem weer onfeilbaar te maken.
“Dit is niet nieuw en niet zonder prioriteit. Verschillende ransomware-bedreigingen hebben de belangrijkste database of hoofdsleutels vrijgegeven toen ze besluiten hun activiteiten stop te zetten,” vertelde Wosar aan ZDNet.
“Uiteindelijk suggereert de belangrijkste database die we hebben verkregen dat ze minstens 2.934 slachtoffers hadden. Gezien het gemiddelde Avaddon-losgeld van ongeveer $ 600.000 en de gemiddelde betalingstarieven voor ransomware, kun je waarschijnlijk een goede schatting maken van hoeveel Avaddon heeft gegenereerd.”
Wosar voegde eraan toe dat de mensen achter Avaddon waarschijnlijk genoeg geld hadden verdiend met ransomware dat ze geen reden hadden om door te gaan.
Volgens Wosar hebben losgeldonderhandelaars de afgelopen weken een urgentie opgemerkt bij het omgaan met Avaddon-operators. Onderhandelaars met de bende zwichten “onmiddellijk voor zelfs de meest magere tegenaanbiedingen van de afgelopen dagen.”
“Dus dit zou erop wijzen dat dit een geplande stopzetting en afbouw van operaties was en de betrokken mensen niet verraste”, legde Wosar uit.
Uit gegevens van RecordedFuture blijkt dat Avaddon verantwoordelijk was voor bijna 24% van alle ransomware-incidenten sinds de aanval op Colonial Pipeline in mei. Een eSentire-rapport over ransomware zei dat Avaddon voor het eerst werd gezien in februari 2019 en opereerde als een ransomware-as-a-service-model, waarbij de ontwikkelaars gelieerde ondernemingen een onderhandelbaar 65% van alle losgeld gaven.
“De bedreigingsactoren van Avaddon zouden hun slachtoffers ook 24/7 ondersteuning en middelen bieden bij het kopen van Bitcoin, het testen van bestanden voor decodering en andere uitdagingen die slachtoffers kunnen belemmeren om het losgeld te betalen”, aldus het rapport.
“Wat interessant is aan deze ransomware-groep is het ontwerp van hun Dark Web-blogsite. Ze beweren niet alleen volledige documenten van hun slachtoffers te verstrekken, maar ze hebben ook een Countdown Clock, die laat zien hoeveel tijd elk slachtoffer nog heeft om te betalen. En om de armen van hun slachtoffers verder te verdraaien, dreigen ze hun website DDoS te gebruiken als ze niet akkoord gaan met onmiddellijke betaling.”
DomainTools
De groep heeft een lange lijst van prominente slachtoffers, waaronder Henry Oil & Gas, Europese verzekeringsgigant AXA, computerhardwarebedrijf EVGA, softwarebedrijf Vistex, verzekeringsmakelaar Letton Percival, het luchthavenbedrijf van de Indonesische overheid PT Angkasa Pura I, Acer Finance en tientallen zorgorganisaties zoals Bridgeway Senior Healthcare in New Jersey, Capital Medical Center in Olympia, Washington en anderen.
De bende heeft een aantekening gemaakt van de publicatie van de gegevens die zijn gestolen tijdens ransomware-aanvallen op hun donkere website, vertelde DomainTools-onderzoeker Chad Anderson vorige maand aan ZDNet.
Zowel de FBI als het Australian Cyber Security Center hebben vorige maand berichten uitgebracht waarin zorginstellingen worden gewaarschuwd voor de dreiging van Avaddon-ransomware.
Australisch Cyber Security Center
In het bericht stond: “Avaddon-bedreigingsactoren eisen losgeld via Bitcoin (BTC), met een gemiddelde vraag van BTC 0,73 (ongeveer $ 40.000) met de verleiding van een aangeboden decoderingstool ('Avaddon General Decryptor') als de betaling wordt gedaan.”< /p>
De groep was volgens het Australische Cyber Security Center ook betrokken bij meerdere aanvallen op productiebedrijven in Zuid-Amerika en Europa.
Cyberbeveiligingsbedrijf Flashpoint zei dat Avaddon, naast REvil, LockBit en Conti, een van de meest productieve ransomware-groepen was die momenteel actief zijn.
Het Photon Research Team van Digital Shadows vertelde ZDNet in mei dat een forumvertegenwoordiger voor de Avaddon-ransomware naar het Exploit-forum ging om nieuwe regels aan te kondigen voor filialen, waaronder een verbod op het richten op “het publiek, het onderwijs, de gezondheidszorg en de liefdadigheidssectoren”.
De groep verbood ook filialen om Rusland of andere GOS-landen aan te vallen. De Amerikaanse president Joe Biden zal naar verwachting tijdens een top in Genève op 16 juni de Russische president Vladimir Poetin onder druk zetten over ransomware-aanvallen.
Ransomware is nu de grootste bedreiging voor cyberbeveiliging
Eenvoudige aanvallen plus de bereidheid van gebruikers om losgeld te betalen om hun bestanden terug te krijgen, betekent dat ransomware in opkomst, waarschuwen Kaspersky-onderzoekers.
Lees meer
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 