lunedì 14 giugno 2021

Il ransomware Avaddon è risolvibile: interrotte le operazioni e rese disponibili le chiavi di decriptazione

Il gruppo di cyber attaccanti responsabili del ransomware Avaddon (ne abbiamo parlato qui) ha deciso di sospendere tutte le operazioni collegate al ransomware. Sono state rese disponibili anche le chiavi di decriptazione, anche se con uno stratagemma peculiare: qualche giorno fa infatti la redazione della rivista specializzata Bleeping Computer ha ricevuto un messaggio anonimo il cui mittente affermava di far parte dell'FBI. Il messaggio recava con se un file archivio .ZIP protetto da password e contenente le chiavi di decriptazione per tutte le vittime del ransomware Avaddon:

Fonte: https://www.bleepingcomputer.com

Le chiavi sono effettivamente funzionanti e quindi è ora possibile procedere alla decriptazione dei file criptati senza cedere al ricatto degli attaccanti e pagare il riscatto. Chi avesse bisogno di assistenza può contattarci all'indirizzo email alessandro@nwkcloud.com o tramite il sito https://www.decryptolocker.it

La gif sotto mostra la decriptazione di test effettuata dai tecnici di BleepingComputer

Fonte: https://www.bleepingcomputer.com

L'archivio contiene 2934 chiavi di decriptazione, ognuna delle quali corrisponde ad una specifica vittima. 

Avaddon in breve
Le operazioni di diffusione del ransomware Avaddon sono iniziate nel Giugno 2020: la prima campagna di diffusione vide l'uso di semplici email di phishing


Avaddon è stato una RaaS (ransomware as a service): inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon era, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon era così organizzato da disporre pure di una pagina di supporto alle vittime, dove sono fornite ulteriori e indicazioni per utenti poco esperti

Ad ora sono circolanti due diverse versioni e sono entrambe risolvibili:

  • prima versione con estensione di criptazione .avdn
  • seconda versione con estensioni di criptazione variabili. Ad esempio .adDECCCaEe;  .baaCEdCdBb ecc...

Nessun commento:

Posta un commento