最近�,不知是出于什么原因,Avaddon勒索軟件背后的黑客向安全研究人員主動(dòng)寄出解密密鑰���。一封假裝來自聯(lián)邦調(diào)查局的電子郵件已經(jīng)發(fā)出�,其中包含一個(gè)密碼和一個(gè)受密碼保護(hù)的壓縮文件的鏈接�����。該文件聲稱是Avaddon勒索軟件的解密密鑰����。該文件被發(fā)送給來自EMSIsoft的名為Fabian Wosar的安全研究員和來自Coverware的Michael Gillespie。這兩名研究人員調(diào)查了電子郵件所附的軟件����,并確定它是無害的,并且包含了為成為Avaddon勒索軟件受害者的用戶提供的解密密鑰���。Emsisoft與BleepingComputer分享了一個(gè)測試解密器��,實(shí)驗(yàn)證明可以解密一個(gè)用Avaddon最近的樣本加密的虛擬機(jī)����。
創(chuàng)新互聯(lián)專注骨干網(wǎng)絡(luò)服務(wù)器租用十多年,服務(wù)更有保障����!服務(wù)器租用,成都聯(lián)通服務(wù)器托管 成都服務(wù)器租用�����,成都服務(wù)器托管����,骨干網(wǎng)絡(luò)帶寬,享受低延遲���,高速訪問�����。靈活�、實(shí)現(xiàn)低成本的共享或公網(wǎng)數(shù)據(jù)中心高速帶寬的專屬高性能服務(wù)器。
Avaddon總共發(fā)布了2934個(gè)解密密鑰�����,每個(gè)密鑰對(duì)應(yīng)于該組織的一個(gè)受害者���。Emsisoft發(fā)布了一個(gè)免費(fèi)的解密程序,任何該軟件的受害者都可以用它來免費(fèi)恢復(fù)他們的文件���,該解密程序文件可以在這里訪問到���。
根據(jù)分析,Avaddon組織已經(jīng)停止了惡意攻擊活動(dòng)���。經(jīng)確認(rèn)托管在 Tor 網(wǎng)絡(luò)隱藏服務(wù)上的 Avaddon 網(wǎng)站目前已經(jīng)不可用��,這說明該組織的活動(dòng)已被關(guān)閉�。
關(guān)閉背后的原因仍然未知����,但可能與Colonial Pipelin事件以及美國的法律法規(guī)有關(guān)。今年美國燃油燃?xì)夤艿肋\(yùn)營商Colonial Pipeline遭到黑客攻擊���,被迫支付贖金���。國土安全部發(fā)言人薩拉佩克在一份聲明中表示�,拜登政府正在采取進(jìn)一步行動(dòng)�����,以更好地保護(hù)我們國家的關(guān)鍵基礎(chǔ)設(shè)施���。運(yùn)輸安全管理局正與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局密切合作����,與管道行業(yè)的公司進(jìn)行協(xié)調(diào)��,以確保它們采取必要措施���,提高自身應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力�,并保護(hù)自己的系統(tǒng)��。
Avaddon的歷史
Avaddon于2020被發(fā)現(xiàn)��,一開始只是通過垃圾郵件展開攻擊�,提供勒索軟件即服務(wù)(RaaS)��,后來�����,攻擊者開發(fā)出惡意廣告及遠(yuǎn)程桌面攻擊,甚至是在成功感染企業(yè)之后��,進(jìn)一步發(fā)動(dòng)分布式服務(wù)阻斷攻擊以逼迫受害者支付贖金����,Avaddon的活躍程度使得美國FBI與澳洲的網(wǎng)絡(luò)安全中心曾公開警告企業(yè)小心來自Avaddon的攻擊。
Avaddon組織首現(xiàn)于某俄羅斯黑客論壇�,Avaddon勒索軟件的特點(diǎn)有:
C++編寫,使用WinAPI��,不依賴第三方;支持Windows7以上版本;文件加密算法:AES256 + RSA2048;支持IOCP異步通知機(jī)制;支持內(nèi)網(wǎng)掃描���,如SMB掃描�、DFS掃描;使用PowerShell的無文件落地;反檢測機(jī)制���,設(shè)置注冊(cè)表來繞過UAC;加密的文件擴(kuò)展名包括:MS Office文檔����、PDF、文本��、數(shù)據(jù)庫�����、圖像文件和音頻文件;多線程文件加密以獲得最大性能;加密所有本地和遠(yuǎn)程和可訪問驅(qū)動(dòng)器;IOCP 支持并行文件加密;持續(xù)加密新寫入的文件和新連接的媒體;能夠跨網(wǎng)絡(luò)共享(SMB��、DFS)傳播;多種傳播選項(xiàng)(腳本���、PowerShell�、.EXE 有效負(fù)載 .DLL);Payload 以管理員身份執(zhí)行;加密隱藏文件和卷;刪除垃圾��、卷影副本 (VSS) 和其他還原點(diǎn);終止禁止加密文件的進(jìn)程�����。
為了謀取更多的利益�����,Avaddon組織會(huì)與其他組織合作����,比如臭名昭著的Phorpiex僵尸組織��。 該模式為典型的AaaS(Access as a Service�,訪問即服務(wù))����,即Avaddon勒索團(tuán)伙通過其他黑產(chǎn)團(tuán)伙提供肉雞訪問權(quán)限來擴(kuò)大勒索面,從而謀取更多的利益���。 后來,Avaddon勒索組織又開發(fā)出了使用竊取數(shù)據(jù)威脅受害者繳納贖金的獲利模式���。據(jù)統(tǒng)計(jì)���,已有多個(gè)目標(biāo)被Avaddon勒索組織在暗網(wǎng)上公開隱私文件,比如保險(xiǎn)信息和項(xiàng)目檔案等����。
技術(shù)迭代過程
Avaddon 通常通過網(wǎng)絡(luò)釣魚活動(dòng)通過包含混淆的 JPEG 或 ZIP 附件(實(shí)際上是帶有宏的 JavaScript 或 Excel)的電子郵件進(jìn)行傳播。然而���,勒索軟件利用了其他幾種感染媒介�����,包括被其他惡意軟件(Smoke Loader���、Phorpiex/Trik�、Rigek 等)下載或在信息系統(tǒng)遭到破壞后直接傳播���,特別是通過遠(yuǎn)程桌面協(xié)議 (RDP) 和虛擬專用網(wǎng)絡(luò)���。
在一項(xiàng)調(diào)查中,Avaddon 的傳播主要是依賴缺乏虛擬網(wǎng)絡(luò)更新和不安全的密碼�����,然后獲得 Active Directory 域的最大權(quán)限���,收集和泄露敏感數(shù)據(jù)��,并在多臺(tái)計(jì)算機(jī)上部署他的加密軟件���。
Avaddon 的加密機(jī)制避開了 Windows 系統(tǒng)的關(guān)鍵區(qū)域,允許受害者使用他們的計(jì)算機(jī)并目睹損壞�����。如果贖金未在十天(240 小時(shí))內(nèi)支付,該組織將在其數(shù)據(jù)泄露網(wǎng)站上公布所有被盜數(shù)據(jù)��。
自第一個(gè)版本發(fā)布以來�����,Avaddon 勒索軟件經(jīng)過多次修改和改進(jìn)�����,特別是在其加密機(jī)制和有效載荷方面:
早在 2020 年 6 月����,開發(fā)人員就已經(jīng)集成了通過 Powershell 啟動(dòng)有效載荷的能力�,以解決防病毒軟件對(duì) Avaddon 的改進(jìn)檢測問題;
2021 年 1 月,Avaddon 增加了對(duì) Windows XP 和 2003 的支持;
2021 年 2 月��,開發(fā)人員修復(fù)了勒索軟件加密機(jī)制中的一個(gè)漏洞���。
攻擊目標(biāo)
Avaddon 勒索軟件針對(duì) IT 服務(wù)��、批發(fā)和衛(wèi)生等廣泛領(lǐng)域的國際公共和私人組織�。最近的受害者包括美國公司美國銀行系統(tǒng) (ABS)、比利時(shí)咨詢公司 Finalyse 以及最近的馬耳他政黨和保險(xiǎn)公司 Group AXA���。
但是��,該組織禁止使用者瞄準(zhǔn)獨(dú)立國家聯(lián)合體 (CIS) 的國家/地區(qū)��。此外�����,勒索軟件在攻擊期間會(huì)運(yùn)行腳本以識(shí)別其目標(biāo)的語言��。如果檢測到俄語或?yàn)蹩颂m語���,則自動(dòng)停止運(yùn)行。
本文翻譯自:https://atos.net/en/lp/securitydive/avaddon-ransomware-analysis如若轉(zhuǎn)載�����,請(qǐng)注明原文地址����。
網(wǎng)站欄目:金盆洗手?Avaddon組織在停止惡意攻擊前發(fā)布了全部解密密鑰
當(dāng)前鏈接:
http://uogjgqi.cn/article/djggssd.html
