澳大利亚网络安全中心(ACSC)和美国联邦调查局(FBI)都对正在进行的使用Avaddon勒索软件的网络犯罪活动发出了警告。
美国联邦调查局表示,已收到身份不明的网络黑客使用Avaddon勒索软件攻击美国和外国私营企业、制造组织和医疗机构的通知。
分开咨询文件(pdf),ACSC表示,它还意识到正在进行的使用Avaddon勒索软件恶意软件的勒索软件活动。该活动积极针对澳大利亚多个行业的组织。
Avaddon ransomware
勒索。阿瓦顿作为勒索软件即服务(RaaS)出售给犯罪分支机构紧张。它从2019年开始出现,到2020年6月,由于一场恶意垃圾邮件运动,它获得了一些真正的吸引力。后来,它开始使用网络广告和RDP为其附属公司推广更高的费率。Avaddon勒索软件在脱机模式下使用AES-256+RSA-2048对文件进行加密。加密后的文件将获得.avdn分机。
没有当前的解密程序
如果你听说过阿瓦顿解密机,别抱太大希望。确实,在2021年2月,一名研究人员在Avaddon加密程序中发现了一个漏洞,让他们可以创建一个免费的可验证.然而,一天后勒索软件开发人员发布了一条消息,表示该漏洞已修复。因此,解密程序仅适用于较旧的感染。如果您从那时起就受到Avaddon的影响,它将无法工作。
联邦调查局对阿瓦登的描述
Avaddon使用熟悉的战术用于有针对性的“大型游戏”勒索软件攻击。据FBI称,Avaddon勒索软件的参与者通过远程访问登录凭证(如远程桌面协议)危害了受害者(RDP)及虚拟专用网络(VPN)。Avaddon参与者访问受害者的网络后,他们会映射网络并确定要删除和/或加密的备份。恶意软件升级权限,包含反分析保护代码,在受害者系统上启用持久性,并验证受害者不在独立国家联合体(CIS)中。最后,在对受害者的系统进行加密之前,先过滤受害者数据的副本。
不怕执法
像许多其他来自独联体的勒索软件运营商一样,他们的行为似乎对执法没有什么可担心的。不幸的是,只要他们不攻击本国的组织,这很可能是真的。一些俄罗斯帮派甚至开始对他们进行攻击执法在美国,很难获得有关有多少警察部门遭到勒索软件袭击的统计数字,也很难获得有关各部门是否支付过勒索的信息。国土安全部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)称勒索软件为对国家安全的威胁他说,这个问题是白宫的首要任务。这一观点在一个勒索软件工作队最近的报告。
勒索软件即服务(RaaS)
Avaddon作为勒索软件即服务(RaaS)提供,这是一个看到附属公司做肮脏的工作并随意使用勒索软件的系统,前提是他们将一定比例的利润返还给Avaddon开发商。ACSC指出,Avaddon还活跃在地下黑暗网络网络犯罪论坛上,向潜在附属公司宣传恶意软件。Avaddon威胁参与者lso使用一个数据泄露网站来识别未能或拒绝支付赎金要求的受害者。
通常情况下,使用RaaS,你会看到分支机构运行不同的分布向量,并相互观察,看看什么是最有效的。也许正是因为这个模型,我们才看到了兰塞姆。Avaddon通过僵尸网络、恶意垃圾邮件活动、利用工具包(RIG-EK),最近蛮干RDP和VPN凭证。
额外的威胁
和许多其他勒索软件运营商一样,Avaddon也通过威胁公开来增加对受害者的压力接的数据在黑暗的网络,并通过执行DDoS攻击。勒索/数据泄露过程通常遵循以下步骤:
- 泄漏警告:在进入了受害者的网络后,Avaddon的演员在受害者的网络上留下了勒索信息,并在Avaddon暗网泄露网站上发布了“泄露警告”。该警告包括文件截图和进入受害者网络的证据。
- 5%泄漏:如果受害者在3到5天内不迅速支付赎金,Avaddon演员就会泄露部分被盗文件,增加受害者的压力。Avaddon的演员通过上传一个小的。zip文件到Avaddon的暗网泄露网站来泄露这些数据。
- 完整的泄漏:如果在5%的数据泄露后没有支付赎金,Avaddon的演员们就会把他们所有的数据以大的。zip文件的形式发布在Avaddon暗网泄露网站的“完整转储”部分。
检测和保护
必威平台APPMalwarebytes通过检测规则和专利反勒索软件技术,通过实时保护来检测勒索。Avaddon并保护用户。
保持安全,大家好!
评论