Stiamo ricevendo alcune richieste di supporto per decriptare file criptati dall'infezione ransomware Avaddon: alcune richieste provengono anche da utenti italiani, segno che la campagna ransomware è attiva anche nel nostro paese. Se la prima versione del ransomware risulta risolvibile senza pagare il riscatto ai cybercriminali, la nuova versione circolante non è ad ora risolvibile perchè la falla che permetteva di risolvere la prima versione è stata corretta studiando il tool di decriptazione che uno studente spagnolo ha messo, gratuitamente e in buona fede, a disposizione di tutte le vittime. Evento che apre una amara riflessione su come, talvolta, gli esperti di cyber security più che di ostacolo al cybercrime ne divengano (involontariamente) complici. Forse è possibile gestire in maniera migliore tali situazioni, aiutando le vittime senza dettagliare pubblicamente la soluzione tecnica?
Avaddon in breve
Avaddon è una RaaS che ha debuttato sulle scene del cybercrime nei primi mesi del 2020: inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon è, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon è così organizzato da disporre pure di una pagina di supporto alle vittime dove sono fornite ulteriori e indicazioni per utenti poco esperti
La pagina di supporto vittime di Avaddon |
Ad ora sono circolanti due diverse versioni:
- prima versione con estensione di criptazione .avdn
- seconda versione con estensioni di criptazione variabili. Ad esempio .adDECCCaEe; .baaCEdCdBb ecc...
Avaddon è dotato di funzionalità di esfiltrazione delle informazioni, secondo il nuovo modello di attacco seguito dai gruppi ransomware: rubare i dati prima di criptarli rende possibile richiedere un duplice riscatto, uno per riportare in chiaro i file e l'altro per evitarne la pubblicazione. Il gruppo Avaddon ha infatti un proprio sito di leak che altro non è che un blog nel circuito tor .onion. La richiesta di riscatto, rinominata readme.txt e visibile sotto, rende chiaro alla vittima che non è stato compromesso un solo PC: Avaddon mira a dilagare nella rete per infettare tutti i dispositivi e gli host che vi trova collegati.
La nota di riscatto di Avaddon |
Comunemente a molti ransomware, Avaddon esegue verifiche di sistema prima della criptazione: tra queste esegue verifiche sulle impostazioni di Windows e della tastiera per escludere utenti russi, tatari, ucraini, armeni, moldavi ecc...
Una volta che il payload viene eseguito, avviene la criptazione di:
- File di programma (x86) \ Microsoft \ Exchange Server
- Programmi \ Microsoft SQL Server
- Programmi \ Microsoft \ Exchange Server
- Programmi (x86) \ Microsoft SQL Server
per poi passare la resto di file e alle condivisioni di rete. Esegue il delete del Shadow Copy, quel servizio di Windows che consente il ripristino dei file tramite backup / copia di uno specifico volume: nei fatti è una tecnica che impedisce il ripristino del sistema e dei file a meno che la vittima non disponga di un backup su storage diversi dal dispositivo criptato.
L'autogol: il tool gratuito che ha aiutato i cybercriminali a blindare il ransomware
Martedì scorso Javier Yuste, dottorando alla Rey Juan Carlos University di Madrid, ha pubblicato sulla propria pagina GitHub un decryptor gratuito e un documento di analisi della falla individuata nel codice del ransomware e sfruttata per "forzare" la criptazione.
Secondo le ricerche di Yuste, al momento di criptare un dispositivo, Avaddon crea una chiave unica AES256 per la sessione di criptazione, necessaria sia per criptare che decriptare i file. Un difetto nel meccanismo con cui il ransomware cancella questa chiave ha permesso a Yuste di programmare un tool capace di recuperarla dalla memoria fintanto che il computer non è stato spento dopo la criptazione.
Una descrizione della falla così dettagliata come quella contenuta nel report di Yuste ha permesso però agli sviluppatori del ransomware (che evidentemente leggono le nostre stesse notizie e pagine GitHub) di risolvere la falla in meno di 24h: tanto è stato il tempo intercorso tra la pubblicazione di Yuste e quella della nuova versione del ransomware, riveduta e corretta, nel portale dei cybercriminali e nei forum di hacking dove il servizio è pubblicizzato.
"Nessun decryptor e nemmeno tanta attenzione concentrata su di noi potranno fermarci. Al contrario abbiamo analizzato la situazione, individuato i punti deboli e trovato una soluzione. [...] Abbiamo già implementato una soluzione al problema, soluzione che renderà impossibile la decriptazione con strumenti di terze parti" hanno fatto sapere gli sviluppatori in un post postato su alcuni forum.
Non solo, da "buoni businessman" quali sono diventati, gli sviluppatori del ransomware hanno deciso di compensare gli affiliati per i mancati guadagni da quelle vittime che hanno potuto usare il tool di Yuste: la quota di guadagni destinata agli affiliati è stata aumentata all'80%, dal precedente 65-75% (a seconda del numero di vittime che un affiliati riesce a generare).
Nessun commento:
Posta un commento