Ransomware #Avaddon cierra su operación y publica las claves

La banda de ransomware Avaddon ha cerrado la operación y ha entregado las claves de descifrado de sus víctimas a BleepingComputer. El cierre de Avaddon surgió de la nada y ha sorprendido a la comunidad de investigadores de seguridad.

Después de la desaparición de la banda de ransomware Darkside a raíz del ataque Colonial Pipeline, la banda Avaddon se había movido de manera muy agresiva para llenar el vacío dejado en el mercado, dijo a The Record Allan Liska, un analista de seguridad de Recorded Future que rastrea las operaciones de ransomware.

Esta mañana, BleepingComputer recibió un aviso anónimo que pretendía ser del FBI y que contenía una contraseña y un enlace a un archivo ZIP protegido por contraseña. Este archivo decía ser "Decryption Keys Ransomware Avaddon" y contenía los tres archivos. Después de compartir los archivos con de Emsisoft y Michael Gillespie de Coveware, confirmaron que las claves son legítimas.

En total, los actores de la amenaza enviaron 2.934 claves de descifrado, donde cada clave corresponde a una víctima específica. Emsisoft ya publicó descifrador gratuito con esas claves.

Si bien no sucede con la suficiente frecuencia, los grupos de ransomware han publicado previamente claves de descifrado, como un gesto de buena voluntad cuando cierran o lanzan una nueva versión.

En el pasado, se lanzaron claves de descifrado para TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy, y FonixLocker.

Avaddon lanzó su operación en junio de 2020 a través de una campaña de phishing que sólo contenía un guiño sonriente. Con el tiempo, Avaddon se ha convertido en una de las operaciones de ransomware más importantes, y el FBI y la policía australiana publicaron recientemente avisos relacionados con el grupo.

"Avaddon estaba vinculado con Conti en la mayor parte de las extorsiones de ransomware publicadas desde el ataque Colonial Pipeline. Cincuenta y nueve víctimas publicadas desde el 7 de mayo, 182 en total desde el lanzamiento en agosto de 2020.

A diferencia de otras bandas de ransomware que cierran sus operaciones a través de mensajes pomposos publicados en línea, la banda Avaddon parece haber desaparecido de la faz de la tierra. Los mensajes a una cuenta de su foro, ahora borrado, no fueron devueltos. También se han eliminado todas las publicaciones realizadas desde esa cuenta.

Una teoría que gana terreno en la comunidad de seguridad sugiere que el grupo puede estar entrando en una fase de "cambio de marca", algo que muchas otras pandillas han hecho antes, como Nemty-to-Nefilim y Gandcrab-to-REvil. Poco después del ataque Colonial Pipeline, la pandilla Avaddon también anunció planes para volverse privados y trabajar solo con un número seleccionado de afiliados para sus intrusiones. Cambiar la marca y volverse privado sería una buena manera para que la pandilla Avaddon "pierda" a las agencias de aplicación de la ley y las firmas de seguridad que actualmente siguen sus movimientos.

En este momento, todos los sitios Tor de Avaddon son inaccesibles, lo que indica que es probable que la operación de ransomware se haya cerrado.

Además, las firmas de negociación de ransomware vieron una loca carrera por parte de Avaddon en los últimos días para finalizar los pagos de rescate de las víctimas impagas existentes. La demanda de rescate promedio de Avaddon fue de alrededor de U$S 600k.

Sin embargo, en los últimos días, Avaddon ha estado presionando a las víctimas para que paguen y acepten la última contraoferta sin ningún rechazo, lo que Siegel afirma que es anormal. No está claro por qué Avaddon cerró, pero probablemente fue causado por el aumento de la presión y el escrutinio por parte de las fuerzas del orden y los gobiernos de todo el mundo después de los recientes ataques contra infraestructuras críticas.

"Las acciones recientes de la aplicación de la ley han puesto nerviosos a algunos actores de amenazas: este es el resultado. Uno menos, y esperemos que otros también caigan", dijo Brett Callow, analista de amenazas de Emsisoft.

Con los recientes ataques contra Colonial Pipeline y JBS, el ransomware se ha convertido en una prioridad del gobierno de EE.UU. Como se cree que la mayoría de las operaciones de ransomware más importantes se realizan en Rusia u otros países de la CEI, el presidente Biden discutirá estos recientes ataques de ransomware con el presidente ruso Vladimir Putin en la cumbre de Ginebra del 16 de junio.

Fuente: BC

Suscríbete a nuestro Boletín