И Австралийский центр кибербезопасности (ACSC), и Федеральное бюро расследований США (ФБР) выпустили предупреждения о продолжающейся кампании киберпреступности, в которой используется программа-вымогатель Avaddon.
ФБР заявляет, что получало уведомления о неопознанных кибер-актерах, использующих программу-вымогатель Avaddon против американских и иностранных компаний частного сектора, производственных организаций и учреждений здравоохранения.
В отдельном сообщении (pdf) ACSC сообщает, что ему также известно о продолжающейся кампании вымогателей с использованием вредоносного ПО Avaddon Ransomware. Эта кампания активно нацелена на австралийские организации из самых разных секторов.
Программа-вымогатель Avaddon
Ransom.Avaddon продается преступным филиалам как штамм Ransomware-as-a-Service (RaaS). Он существует с 2019 года, а в июне 2020 года он получил реальную поддержку из-за кампании по борьбе со спамом. Позже он начал продвигать более высокие ставки для своих аффилированных лиц, используя рекламу в сетях и RDP. Программа-вымогатель Avaddon выполняет шифрование в автономном режиме, используя AES-256 + RSA-2048 для шифрования файлов. При шифровании файлы получают .avdnрасширение.
Нет текущего дешифратора
Если вы слышали о дешифраторе Avaddon, не надейтесь. Это правда, что в феврале 2021 года исследователь обнаружил недостаток в программе шифрования Avaddon, который позволил им создать бесплатный дешифратор. Однако через день разработчик вымогателя опубликовал сообщение о том, что уязвимость исправлена. Таким образом, дешифратор работает только с более старыми инфекциями. Если с тех пор на вас повлиял Avaddon, он не сработает.
Описание Аваддона ФБР
Avaddon используется в целевых атаках программ-вымогателей с использованием знакомой тактики. По данным ФБР, злоумышленники-вымогатели Avaddon скомпрометировали жертв с помощью учетных данных для удаленного доступа, таких как протокол удаленного рабочего стола (RDP) и виртуальные частные сети (VPN). После того, как субъекты Avaddon получают доступ к сети жертвы, они отображают сеть и идентифицируют резервные копии для удаления и / или шифрования. Вредоносная программа повышает привилегии, содержит код защиты от анализа, обеспечивает постоянство в системе жертвы и проверяет, что жертва не находится в Содружестве Независимых Государств (СНГ). Наконец, копия данных жертвы удаляется до того, как система жертвы будет зашифрована.
Не боюсь правоохранительных органов
Как и многие другие операторы программ-вымогателей из СНГ, они действуют так, будто им нечего бояться правоохранительных органов. И до тех пор, пока они не атакуют организации в своей стране, это, к сожалению, вероятно, правда. Некоторые российские банды даже проявляют агрессию в отношении правоохранительных органов США. Статистические данные о том, сколько отделений полиции подверглись атакам программ-вымогателей, получить сложно, равно как и информацию о том, платили ли отделы когда-либо выкуп. Министр внутренней безопасности Алехандро Майоркас назвал программы-вымогатели угрозой национальной безопасности и сказал, что этот вопрос является главным приоритетом Белого дома. Это мнение было поддержано в недавнем отчете Целевой группы по программам-вымогателям.
Программа-вымогатель как услуга (RaaS)
Avaddon предлагается как программа-вымогатель как услуга (RaaS), система, в которой партнеры выполняют грязную работу и используют программы-вымогатели, как им нравится, при условии, что они возвращают разработчикам Avaddon процент своей прибыли. ACSC отмечает, что Avaddon также активно присутствует на подпольных форумах по борьбе с киберпреступлениями в темной сети, где рекламирует вредоносное ПО потенциальным аффилированным лицам. Злоумышленники Avaddon также используют сайт утечки данных для выявления жертв, которые не выплачивают или отказываются платить выкуп.
Как правило, с RaaS вы увидите, как филиалы используют разные векторы распространения и смотрят друг другу через плечо, чтобы увидеть, что работает лучше всего. Вероятно, из-за этой модели мы видели, как Ransom.Avaddon распространяется ботнетом, в кампаниях по вредоносному спаму, с помощью наборов эксплойтов (RIG-EK), а в последнее время - путем подбора учетных данных RDP и VPN.
Дополнительные угрозы
Как и многие другие операторы программ-вымогателей, Avaddon также усилил давление на своих жертв, угрожая опубликовать украденные данные в темной сети и выполняя DDoS-атаки Процесс вымогательства / утечки данных обычно состоит из следующих шагов:
Обнаружение и защита
Malwarebytes обнаруживает Ransom.Avaddon и защищает пользователя с помощью защиты в реальном времени, как с помощью правил обнаружения, так и с помощью запатентованной технологии защиты от программ-вымогателей.
Будьте в безопасности, все!
ФБР заявляет, что получало уведомления о неопознанных кибер-актерах, использующих программу-вымогатель Avaddon против американских и иностранных компаний частного сектора, производственных организаций и учреждений здравоохранения.
В отдельном сообщении (pdf) ACSC сообщает, что ему также известно о продолжающейся кампании вымогателей с использованием вредоносного ПО Avaddon Ransomware. Эта кампания активно нацелена на австралийские организации из самых разных секторов.
Программа-вымогатель Avaddon
Ransom.Avaddon продается преступным филиалам как штамм Ransomware-as-a-Service (RaaS). Он существует с 2019 года, а в июне 2020 года он получил реальную поддержку из-за кампании по борьбе со спамом. Позже он начал продвигать более высокие ставки для своих аффилированных лиц, используя рекламу в сетях и RDP. Программа-вымогатель Avaddon выполняет шифрование в автономном режиме, используя AES-256 + RSA-2048 для шифрования файлов. При шифровании файлы получают .avdnрасширение.
Нет текущего дешифратора
Если вы слышали о дешифраторе Avaddon, не надейтесь. Это правда, что в феврале 2021 года исследователь обнаружил недостаток в программе шифрования Avaddon, который позволил им создать бесплатный дешифратор. Однако через день разработчик вымогателя опубликовал сообщение о том, что уязвимость исправлена. Таким образом, дешифратор работает только с более старыми инфекциями. Если с тех пор на вас повлиял Avaddon, он не сработает.
Описание Аваддона ФБР
Avaddon используется в целевых атаках программ-вымогателей с использованием знакомой тактики. По данным ФБР, злоумышленники-вымогатели Avaddon скомпрометировали жертв с помощью учетных данных для удаленного доступа, таких как протокол удаленного рабочего стола (RDP) и виртуальные частные сети (VPN). После того, как субъекты Avaddon получают доступ к сети жертвы, они отображают сеть и идентифицируют резервные копии для удаления и / или шифрования. Вредоносная программа повышает привилегии, содержит код защиты от анализа, обеспечивает постоянство в системе жертвы и проверяет, что жертва не находится в Содружестве Независимых Государств (СНГ). Наконец, копия данных жертвы удаляется до того, как система жертвы будет зашифрована.
Не боюсь правоохранительных органов
Как и многие другие операторы программ-вымогателей из СНГ, они действуют так, будто им нечего бояться правоохранительных органов. И до тех пор, пока они не атакуют организации в своей стране, это, к сожалению, вероятно, правда. Некоторые российские банды даже проявляют агрессию в отношении правоохранительных органов США. Статистические данные о том, сколько отделений полиции подверглись атакам программ-вымогателей, получить сложно, равно как и информацию о том, платили ли отделы когда-либо выкуп. Министр внутренней безопасности Алехандро Майоркас назвал программы-вымогатели угрозой национальной безопасности и сказал, что этот вопрос является главным приоритетом Белого дома. Это мнение было поддержано в недавнем отчете Целевой группы по программам-вымогателям.
Программа-вымогатель как услуга (RaaS)
Avaddon предлагается как программа-вымогатель как услуга (RaaS), система, в которой партнеры выполняют грязную работу и используют программы-вымогатели, как им нравится, при условии, что они возвращают разработчикам Avaddon процент своей прибыли. ACSC отмечает, что Avaddon также активно присутствует на подпольных форумах по борьбе с киберпреступлениями в темной сети, где рекламирует вредоносное ПО потенциальным аффилированным лицам. Злоумышленники Avaddon также используют сайт утечки данных для выявления жертв, которые не выплачивают или отказываются платить выкуп.
Как правило, с RaaS вы увидите, как филиалы используют разные векторы распространения и смотрят друг другу через плечо, чтобы увидеть, что работает лучше всего. Вероятно, из-за этой модели мы видели, как Ransom.Avaddon распространяется ботнетом, в кампаниях по вредоносному спаму, с помощью наборов эксплойтов (RIG-EK), а в последнее время - путем подбора учетных данных RDP и VPN.
Дополнительные угрозы
Как и многие другие операторы программ-вымогателей, Avaddon также усилил давление на своих жертв, угрожая опубликовать украденные данные в темной сети и выполняя DDoS-атаки Процесс вымогательства / утечки данных обычно состоит из следующих шагов:
- Предупреждение об утечке: после первоначального получения доступа к сети жертвы акторы Avaddon оставляют записку о выкупе в сети жертвы и публикуют «предупреждение об утечке» на веб-сайте утечки темной сети Avaddon. Предупреждение состоит из скриншотов из файлов и подтверждения доступа к сети жертвы.
- 5-процентная утечка: если жертва быстро не заплатит выкуп в течение 3-5 дней, актеры Avaddon увеличивают давление на жертв, передавая часть украденных файлов. Актеры Avaddon утекают эти данные, загружая небольшой файл .zip на сайт утечки темной сети Avaddon.
- Полная утечка: если выкуп не выплачен после 5-процентной утечки, акторы Avaddon публикуют все свои извлеченные данные в больших файлах .zip в разделе «Полные дампы» веб-сайта утечки темной сети Avaddon.
Обнаружение и защита
Malwarebytes обнаруживает Ransom.Avaddon и защищает пользователя с помощью защиты в реальном времени, как с помощью правил обнаружения, так и с помощью запатентованной технологии защиты от программ-вымогателей.
Будьте в безопасности, все!
