金盆洗手？Avaddon组织在停止恶意攻击前发布了全部解密密钥

金盆洗手？Avaddon组织在阻止恶意攻击之前发布了所有解密密钥一封假装来自FBI的电子邮件已发送，其中包含密码和指向受密码保护的zip文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给EMSIsoft的安全研究员FabianWosar和Coverware的MichaelGillespie。两位研究人员调查了电子邮件附带的软件，确定它是无害的，并且包含一个解密密钥，供成为Avaddon勒索软件受害者的用户使用。Emsisoft与BleepingComputer分享了一个测试解密器，该解密器已通过实验证明可以解密使用Avaddon最近样本加密的虚拟机。Avaddon总共发布了2,934个解密密钥，每个受害者一个。Emsisoft发布了一个免费的解密器，该软件的任何受害者都可以使用它来免费恢复他们的文件，可以在此处访问解密器文件。据分析，Avaddon组织已经停止了恶意攻击。经证实，托管在Tor网络隐藏服务上的Avaddon网站目前无法使用，表明该组织的活动已被关闭。关闭的原因尚不清楚，但可能与ColonialPipelin事件以及美国的法律法规有关。美国一家石油和天然气管道运营商ColonialPipeline今年遭到黑客攻击，被迫支付赎金。国土安全部女发言人萨拉佩克在一份声明中表示，拜登政府正在采取进一步措施，以更好地保护我们国家的关键基础设施。TSA正在与网络安全和基础设施安全局密切合作，与管道行业的公司进行协调，以确保他们采取必要的措施来提高他们抵御网络威胁的能力并保护他们的系统。Avaddon的历史Avaddon发现于2020年，一开始只是通过垃圾邮件发起攻击，提供勒索软件即服务（RaaS）。后来，攻击者开发了恶意广告和远程桌面攻击，甚至在成功感染企业后进一步展开。分布式服务阻塞攻击用于迫使受害者支付赎金。Avaddon的活动导致美国联邦调查局和澳大利亚网络安全中心公开警告企业要小心来自Avaddon的攻击。Avaddon组织最早出现在俄罗斯的一个黑客论坛上。Avaddon勒索软件的特点是：用C++编写，使用WinAPI，不依赖第三方；支持Windows7或以上；文件加密算法：AES256+RSA2048；支持IOCP异步通知机制；支持内网扫描，如SMB扫描、DFS扫描；使用PowerShell的无文件登陆；反检测机制，将注册表设置为绕过UAC；加密的文件扩展名包括：MSOffice文档、PDF、文本、数据库、图像文件和音频文件；多线程文件加密以获得最佳性能；加密所有本地和远程以及可访问的驱动器；IOCP支持并行文件加密；持续加密新写入的文件和新连接的媒体；跨网络共享（SMB、DFS）传播的能力；多种传播选项（脚本、PowerShell、.EXE有效负载.DLL）；Payload以管理员身份执行；加密隐藏的文件和卷；删除垃圾、卷影副本(VSS)和其他还原点；终止禁止加密文件的进程。为了谋取更多利益，Avaddon组织会与其他组织合作，比如臭名昭著的Phorpiex僵尸组织。这种模式是典型的AaaS（AccessasaService），即Avaddon敲诈团伙利用其他黑产团伙提供肉鸡准入权，扩大敲诈区域，谋取更多利益。后来，Avaddon勒索组织开发了一种盈利模式，利用窃取的数据威胁受害者支付赎金。据统计，很多目标已经被Avaddon勒索组织暴露在暗网上的私人文件，比如保险信息、项目文件等。技术迭代过程Avaddon通常通过包含混淆的JPEG或ZIP附件（实际上是JavaScript或带有宏的Excel）的电子邮件通过网络钓鱼活动传播。然而，勒索软件利用其他几种感染媒介，包括被其他恶意软件（SmokeLoader、Phorpiex/Trik、Rigek等）虚拟专用网络下载。在一项调查中，Avaddon的传播主要依赖于缺乏虚拟网络更新和不安全的密码，然后才能获得ActiveDirectory域的最大权限、收集和泄露敏感数据以及在多台计算机上部署他的加密软件。Avaddon的加密机制避开了Windows系统的关键区域，让受害者可以使用他们的计算机并目睹损坏。如果在十天（240小时）内未支付赎金，该组织将在其数据泄露网站上公布所有被盗数据。自第一个版本发布以来，Avaddon勒索软件经过多次修改和改进，尤其是在其加密机制和payload方面：早在2020年6月，开发者就集成了通过Powershell启动payload的能力，以解决防病毒软件改进了对Avaddon的检测；2021年1月，Avaddon增加了对WindowsXP和2003的支持；2021年2月，开发人员修复了勒索软件加密机制中的一个漏洞。攻击目标Avaddon勒索软件针对广泛领域的国际公共和私营组织，包括IT服务、批发和健康。最近的受害者包括美国公司AmericanBankingSystem(ABS)、比利时咨询公司Finalyse，以及最近的马耳他政党和保险公司GroupAXA。但是，该组织禁止用户以独立国家联合体(CIS)中的国家为目标。此外，勒索软件在攻击期间运行脚本以识别其目标的语言。如果检测到俄语或乌克兰语，则自动停止运行。本文翻译自：https://atos.net/en/lp/securitydive/avaddon-ransomware-analysis如有转载请注明出处。