最近不知道为什么,Avaddon勒索软件背后的黑客主动向安全研究人员发送解密钥。一封假装来自联邦调查局的电子邮件已经发出,包括一个密码和一个受密码保护的压缩文件链接。该文件声称是Avaddon勒索软件的解密钥。该文件发送给来自EMSIsoft的名为Fabian Wosar安全研究员和来源Coverware的Michael Gillespie。这两位研究人员调查了电子邮件所附的软件,并确定它是无害的,并包括成为Avaddon用户为勒索软件受害者提供的解密钥。Emsisoft与BleepingComputer共享测试解密器,实验证明可以解密Avaddon最近的样本加密的虚拟机。
Avaddon共发布了2934个解密钥,每个密钥对应该组织的受害者。Emsisoft发布了一个免费的解密程序,任何软件的受害者都可以使用它来免费恢复他们的文件,这里可以访问解密程序文件。
根据分析,Avaddon该组织已停止恶意攻击。确认托管在 Tor 网络隐藏服务 Avaddon 网站目前已经不可用,说明该组织的活动已经关闭。
关闭背后的原因仍然未知,但可能与Colonial Pipelin事件与美国的法律法规有关。今年,美国燃油气管道运营商Colonial Pipeline被黑客攻击,被迫支付赎金。土地安全部发言人萨拉佩克在一份声明中表示,拜登政府正在采取进一步行动,以更好地保护我国的关键基础设施。运输安全管理局正在与网络安全和基础设施安全局密切合作,与管道行业的公司协调,确保他们采取必要措施,提高应对网络威胁的能力,保护自己的系统。
Avaddon的历史
Avaddon2020年被发现只是通过垃圾邮件攻击,提供勒索软件,即服务(RaaS),后来,攻击者开发了恶意广告和远程桌面攻击,甚至在成功感染企业后,进一步发动分布式服务阻断攻击,迫使受害者支付赎金,Avaddon美国的活动FBI与澳大利亚的网络安全中心公开警告企业要小心Avaddon的攻击。
Avaddon该组织首次出现在俄罗斯黑客论坛上,Avaddon勒索软件的特点是:
C 编写,使用WinAPI,不依赖第三方;支持Windows7文件加密算法:AES256 RSA2048;支持IOCP异步通知机制;支持内网扫描,如SMB扫描、DFS扫描;使用PowerShell无文件落地;反检测机制,设置登记表绕过UAC;加密文件扩展名称包括:MS Office文档、PDF、文本、数据库、图像文件和音频文件;加密多线程文件以获得最大性能;加密所有本地和远程和可访问驱动器;IOCP 支持并行文件加密;不断加密新写入的文件和新连接的媒体;跨网络共享(SMB、DFS)传播;多种传播选项(脚本,PowerShell、.EXE 有效负载 .DLL);Payload 以管理员身份执行;加密隐藏文件和卷;删除垃圾、卷影副本 (VSS) 等还原点;终止禁止加密文件的过程。
为了谋取更多的利益,Avaddon组织会与其他组织合作,如臭名昭著Phorpiex僵尸组织。这种模式是典型的AaaS(Access as a Service,访问即服务),即Avaddon勒索团伙通过其他黑生产团伙提供肉鸡访问权来扩大勒索面,从而获得更多的利益。 后来,Avaddon勒索组织还开发了利用窃取数据威胁受害者支付赎金的盈利模式。据统计,多个目标已经实现Avaddon勒索组织在暗网上公开隐私文件,如保险信息和项目档案。
技术迭代过程
Avaddon 通常通过包含混淆 的在线钓鱼活动JPEG 或 ZIP 附件(实际上是带有宏的 JavaScript 或 Excel)传播电子邮件。然而,勒索软件使用其他几种感染媒介,包括其他恶意软件(Smoke Loader、Phorpiex/Trik、Rigek 等。)下载或直接传信息系统损坏,特别是通过远程桌面协议 (RDP) 和虚拟专用网络。
在一项调查中,Avaddon 通信主要依靠缺乏虚拟网络更新和不安全密码,然后获得 Active Directory 域的最大权限是收集和泄露敏感数据,并在多台计算机上部署他的加密软件。
Avaddon 的加密机制避免了 Windows 系统的关键区域允许受害者使用他们的计算机并目睹损坏。如果赎金未在10天(240 小时)内支付,该组织将在其数据泄露网站上公布所有被盗数据。
自第一版发布以来,Avaddon 勒索软件经过多次修改和改进,特别是在其加密机制和有效载荷方面:
早在 2020年 6月,开发人员就集成了 Powershell 启动有效载荷的能力,以解决防病毒软件的问题Avaddon 改进检测问题;
2021 年 1 月,Avaddon 增加了对 Windows XP 和 2003 的支持;
2021 2 月,开发人员修复了勒索软件加密机制中的一个漏洞。
攻击目标
Avaddon 为 提供勒索软件IT 服务、批发、卫生等领域的国际公共和私人组织。最近的受害者包括美国公司的美国银行系统 (ABS)、 ,比利时咨询公司Finalyse 以及最近的马耳他政党和保险公司 Group AXA。
但该组织禁止用户瞄准独立国家联合体 (CIS) 的国家/地区。此外,勒索软件将在攻击过程中运行脚本以识别其目标语言。如果检测到俄语或乌克兰语,则自动停止运行。
本文翻译自:https://atos.net/en/lp/securitydive/avaddon-ransomware-analysis若转载,请注明原文地址。