El grupo de ransomware Avaddon, uno de los grupos de ransomware más prolíficos de 2021, ha anunciado que cerrará la operación y brindará a miles de víctimas una herramienta de descifrado gratuita.
Lawrence Abrams de BleepingComputer dijo que estaba envió un correo electrónico anónimo con una contraseña y un enlace a un archivo zip llamado “Claves de descifrado Ransomware Avaddon”.
El archivo tenía claves de descifrado para 2934 víctimas del ransomware Avaddon. La sorprendente cifra es otro ejemplo de cuántas organizaciones nunca revelan los ataques, ya que algunos informes anteriormente habían atribuido solo 88 ataques a Avaddon.
Abrams trabajó con el director de tecnología de Emsisoft, Fabian Wosar, y Michael Gillespie de Coveware para revisar los archivos y verificar las claves de descifrado. Emsisoft creó una herramienta gratuita que las víctimas de Avaddon pueden utilizar para descifrar archivos.
Las bandas de ransomware, como las que están detrás de Crysis, AES-NI, Shade, FilesLocker, Ziggy, en ocasiones han publicado claves de descifrado y se han cerrado por diversas razones. En febrero, un estudiante en España lanzó una herramienta gratuita de descifrado de Avaddon, pero la pandilla actualizó rápidamente su código para volver a hacerlo infalible.
“Esto no es nuevo y no tiene precedentes. Varios actores de amenazas de ransomware han liberado la base de datos clave o las claves maestras cuando deciden cerrar sus operaciones”, dijo Wosar a .
“En última instancia, la base de datos clave que obtuvimos sugiere que tuvieron al menos 2.934 víctimas. Dado el rescate promedio de Avaddon de aproximadamente $600.000 y las tasas de pago promedio por ransomware, probablemente se pueda obtener una estimación decente de cuánto generó Avaddon”.
Wosar añadió que las personas detrás de Avaddon probablemente habían ganado suficiente dinero con ransomware y no tenían motivos para continuar.
Según Wosar, los negociadores de rescates han notado una urgencia al tratar con los operadores de Avaddon en las últimas semanas. Los negociadores con la pandilla están cediendo “instantáneamente incluso a las contraofertas más exiguas durante los últimos días”.
“Así que esto sugeriría que ha sido un cierre planificado y una terminación de las operaciones y no sorprendió a las personas involucradas”, explicó Wosar.
Datos de RecordedFuture ha demostrado que Avaddon representó casi el 24% de todos los incidentes de ransomware desde el ataque a Colonial Pipeline en mayo. Un informe de eSentire sobre ransomware dijo que Avaddon se vio por primera vez en febrero de 2019 y funcionó como un modelo de ransomware como servicio, y los desarrolladores otorgaron a los afiliados un 65% negociable de todos los rescates.
“También se dice que los actores de la amenaza Avaddon ofrecen a sus víctimas soporte y recursos las 24 horas del día, los 7 días de la semana para comprar Bitcoin, probar el descifrado de archivos y otros desafíos que pueden impedir que las víctimas paguen el rescate”, dice el informe.
“Lo interesante de este grupo de ransomware es el diseño de su blog en la Dark Web. No sólo afirman proporcionar volcados completos de los documentos de sus víctimas, sino que también cuentan con un reloj de cuenta regresiva, que muestra cuánto tiempo le queda a cada víctima para pagar. Y para torcer aún más a sus víctimas, amenazan con atacar su sitio web mediante DDoS si no aceptan pagar de inmediato”.
Herramientas de dominio
El grupo tiene una larga lista de víctimas destacadas que incluye a Henry Oil & Gas, el gigante europeo de seguros AXA, la empresa de hardware informático EVGA, la empresa de software Vistex, la corredora de seguros Letton Percival, la empresa aeroportuaria del gobierno indonesio PT Angkasa Pura I, Acer Finance y docenas de organizaciones de atención médica como Bridgeway Senior Healthcare en Nueva Jersey, Capital Medical Center en Olympia, Washington y otras.
La pandilla tomó nota de publicar los datos robados durante los ataques de ransomware en su sitio web oscuro, dijo a el mes pasado el investigador de DomainTools, Chad Anderson.
Tanto el FBI como el Centro Australiano de Seguridad Cibernética publicaron avisos el mes pasado advirtiendo a las instituciones de salud sobre la amenaza del ransomware Avaddon.
Centro australiano de seguridad cibernética
El aviso decía: “Los actores de amenazas de Avaddon exigen el pago de un rescate a través de Bitcoin (BTC), con una demanda promedio de 0,73 BTC (aproximadamente 40.000 dólares estadounidenses) con el atractivo de una herramienta de descifrado ofrecida ('Avaddon General Decryptor') si se realiza el pago”.
El grupo también estuvo implicado en múltiples ataques a empresas manufactureras en América del Sur y Europa, según el Centro Australiano de Seguridad Cibernética.
La empresa de ciberseguridad Flashpoint dijo que junto con REvil, LockBit y Conti, Avaddon era uno de los grupos de ransomware más prolíficos actualmente activos.
El equipo de investigación Photon de Digital Shadows le dijo a en mayo que un representante del foro para el ransomware Avaddon acudió al foro Exploit para anunciar nuevas reglas para los afiliados que incluían prohibiciones de apuntar a “los sectores público, educativo, sanitario y caritativo”.
El grupo también prohibió a sus afiliados atacar a Rusia o cualquier otro país de la CEI. Se espera que el presidente estadounidense Joe Biden presione al presidente ruso Vladimir Putin sobre los ataques de ransomware en una cumbre en Ginebra el 16 de junio.