金盆洗手?Avaddon組織在停止惡意攻擊前發布了全部解密密鑰
最近,不知是出于什么原因,Avaddon勒索軟件背后的黑客向安全研究人員主動寄出解密密鑰。一封假裝來自聯邦調查局的電子郵件已經發出,其中包含一個密碼和一個受密碼保護的壓縮文件的鏈接。該文件聲稱是Avaddon勒索軟件的解密密鑰。該文件被發送給來自EMSIsoft的名為Fabian Wosar的安全研究員和來自Coverware的Michael Gillespie。這兩名研究人員調查了電子郵件所附的軟件,并確定它是無害的,并且包含了為成為Avaddon勒索軟件受害者的用戶提供的解密密鑰。Emsisoft與BleepingComputer分享了一個測試解密器,實驗證明可以解密一個用Avaddon最近的樣本加密的虛擬機。
Avaddon總共發布了2934個解密密鑰,每個密鑰對應于該組織的一個受害者。Emsisoft發布了一個免費的解密程序,任何該軟件的受害者都可以用它來免費恢復他們的文件,該解密程序文件可以在這里訪問到。
根據分析,Avaddon組織已經停止了惡意攻擊活動。經確認托管在 Tor 網絡隱藏服務上的 Avaddon 網站目前已經不可用,這說明該組織的活動已被關閉。
關閉背后的原因仍然未知,但可能與Colonial Pipelin事件以及美國的法律法規有關。今年美國燃油燃氣管道運營商Colonial Pipeline遭到黑客攻擊,被迫支付贖金。國土安全部發言人薩拉佩克在一份聲明中表示,拜登政府正在采取進一步行動,以更好地保護我們國家的關鍵基礎設施。運輸安全管理局正與網絡安全和基礎設施安全局密切合作,與管道行業的公司進行協調,以確保它們采取必要措施,提高自身應對網絡威脅的能力,并保護自己的系統。
Avaddon的歷史
Avaddon于2020被發現,一開始只是通過垃圾郵件展開攻擊,提供勒索軟件即服務(RaaS),后來,攻擊者開發出惡意廣告及遠程桌面攻擊,甚至是在成功感染企業之后,進一步發動分布式服務阻斷攻擊以逼迫受害者支付贖金,Avaddon的活躍程度使得美國FBI與澳洲的網絡安全中心曾公開警告企業小心來自Avaddon的攻擊。
Avaddon組織首現于某俄羅斯黑客論壇,Avaddon勒索軟件的特點有:
C++編寫,使用WinAPI,不依賴第三方;支持Windows7以上版本;文件加密算法:AES256 + RSA2048;支持IOCP異步通知機制;支持內網掃描,如SMB掃描、DFS掃描;使用PowerShell的無文件落地;反檢測機制,設置注冊表來繞過UAC;加密的文件擴展名包括:MS Office文檔、PDF、文本、數據庫、圖像文件和音頻文件;多線程文件加密以獲得最大性能;加密所有本地和遠程和可訪問驅動器;IOCP 支持并行文件加密;持續加密新寫入的文件和新連接的媒體;能夠跨網絡共享(SMB、DFS)傳播;多種傳播選項(腳本、PowerShell、.EXE 有效負載 .DLL);Payload 以管理員身份執行;加密隱藏文件和卷;刪除垃圾、卷影副本 (VSS) 和其他還原點;終止禁止加密文件的進程。
為了謀取更多的利益,Avaddon組織會與其他組織合作,比如臭名昭著的Phorpiex僵尸組織。 該模式為典型的AaaS(Access as a Service,訪問即服務),即Avaddon勒索團伙通過其他黑產團伙提供肉雞訪問權限來擴大勒索面,從而謀取更多的利益。 后來,Avaddon勒索組織又開發出了使用竊取數據威脅受害者繳納贖金的獲利模式。據統計,已有多個目標被Avaddon勒索組織在暗網上公開隱私文件,比如保險信息和項目檔案等。
技術迭代過程
Avaddon 通常通過網絡釣魚活動通過包含混淆的 JPEG 或 ZIP 附件(實際上是帶有宏的 JavaScript 或 Excel)的電子郵件進行傳播。然而,勒索軟件利用了其他幾種感染媒介,包括被其他惡意軟件(Smoke Loader、Phorpiex/Trik、Rigek 等)下載或在信息系統遭到破壞后直接傳播,特別是通過遠程桌面協議 (RDP) 和虛擬專用網絡。
在一項調查中,Avaddon 的傳播主要是依賴缺乏虛擬網絡更新和不安全的密碼,然后獲得 Active Directory 域的最大權限,收集和泄露敏感數據,并在多臺計算機上部署他的加密軟件。
Avaddon 的加密機制避開了 Windows 系統的關鍵區域,允許受害者使用他們的計算機并目睹損壞。如果贖金未在十天(240 小時)內支付,該組織將在其數據泄露網站上公布所有被盜數據。
自第一個版本發布以來,Avaddon 勒索軟件經過多次修改和改進,特別是在其加密機制和有效載荷方面:
早在 2020 年 6 月,開發人員就已經集成了通過 Powershell 啟動有效載荷的能力,以解決防病毒軟件對 Avaddon 的改進檢測問題;
2021 年 1 月,Avaddon 增加了對 Windows XP 和 2003 的支持;
2021 年 2 月,開發人員修復了勒索軟件加密機制中的一個漏洞。
攻擊目標
Avaddon 勒索軟件針對 IT 服務、批發和衛生等廣泛領域的國際公共和私人組織。最近的受害者包括美國公司美國銀行系統 (ABS)、比利時咨詢公司 Finalyse 以及最近的馬耳他政黨和保險公司 Group AXA。
但是,該組織禁止使用者瞄準獨立國家聯合體 (CIS) 的國家/地區。此外,勒索軟件在攻擊期間會運行腳本以識別其目標的語言。如果檢測到俄語或烏克蘭語,則自動停止運行。
本文翻譯自:https://atos.net/en/lp/securitydive/avaddon-ransomware-analysis如若轉載,請注明原文地址。
