Ransomware Avaddon: principales características | WeLiveSecurity

  • Home
  • Noticias
  • Ransomware Avaddon: principales características | WeLiveSecurity

[ad_1]

Analizamos cuáles son las principales características del ransomware Avaddon a partir de alguna de las muestras de este malware analizadas durante el segundo trimestre de 2021.

Qué es Avaddon

Avaddon es un ransomware cuyos primeros ataques fueron detectados a finales del año 2019  y que a mediados del 2020 comenzó a reclutar afiliados en foros de hacking para su programa de Ransomware-as-a-Service (RaaS), ofreciendo múltiples opciones y amplia capacidad para ser configurado para el servicio. Los ataques de Avaddon han afectado a empresas y organizaciones de todo el mundo, incluidos varios países de América Latina.

Muchos grupos de ransomware adoptaron la modalidad extorsiva del doxing; es decir, el robo de información de los sistemas comprometidos previo al cifrado para luego amenazar a las víctimas con publicar la información en caso de no querer llegar a un acuerdo para el pago del rescate. En el caso de Avaddon, si bien de acuerdo con las muestras analizadas y los hashes públicos que observamos no detectamos la capacidad de robar información desde el equipo infectado, los operadores detrás de este ransomware cuentan con un sitio en la red TOR creado principalmente para este fin en el que publicaron supuesta información de las víctimas.

Además del doxing, otra estrategia extorsiva que el grupo dice llevar adelante son los ataques de DDoS sobre los sitios de las víctimas para de esta manera interrumpir el funcionamiento y que los usuarios no puedan acceder.

Por último, una vez que Avaddon logra acceso a una red realiza primero tareas de reconocimiento para identificar principalmente bases de datos, backup y copias shadow, y también buscando la forma escalar privilegios dentro de la red.

Según publicó el Centro de Ciberseguridad de Australia en mayo de 2021, el monto promedio que solicitan los atacantes para recuperar los archivos es de 0.73  bitcoins, que equivale aproximadamente 40.000 dólares.

Tabla de contenidos en este artículo:

 

Principales características del ransomware Avaddon

Estas son algunas de sus principales características:

El método de distribución qué más se ha visto en el caso de Avaddon es a través de correos de phishing que incluyen un archivo JScript malicioso adjunto que utiliza una segunda extensión “.ZIP” para hacerle creer a la potencial víctima que se trata de un archivo comprimido que contiene una foto comprometedora que ha sido descubierta en la web. El código JScript a su vez ejecuta comandos de Powershell para descargar el ransomware de un servidor web y guardarlo en el directorio %TEMP% del equipo de la víctima para luego ejecutar el malware.

Imagen 1. Ejemplo de correo de phishing que contiene adjunto malicioso.

Cabe destacar que una vez ejecutado el ransomware, este no llevara a cabo sus funciones en el equipo comprometido si este posee una configuración de lenguaje del teclado o si el identificador del lenguaje del sistema es de alguno de los países que conforman la Comunidad de Estados Independientes, principalmente el ruso.

Antes de establecer persistencia en el sistema, Avaddon intenta elevar sus privilegios a través de un bypass en el User Account Control (UAC), que es bien conocido y ha sido utilizado por varias familias de malware. Si tiene éxito, se copia así mismo en la carpeta AppDataRoaming del usuario actual.

Utiliza dos tipos de métodos para ser ejecutado en el próximo inicio del sistema, o cuando la víctima inicia sesión en el sistema:

  • Registrando una Tarea Programada (Scheduled Task)
  • Registrandose en {HKLM|HKU}SoftwareMicrosoftWindowsCurrentVersionRun

Una vez concluido el proceso de persistencia, Avaddon prepara el sistema terminando los procesos que puedan interferir con el acceso a los archivos. Para esto descifra dos listas de nombres asociados a software tales como: Microsoft SQL, Microsoft Word, QuickBooks, Remotely Anywhere, VMWare, y Java entre otros, así como también tres soluciones de seguridad: Symantec, 360 Secure Browser, G Data Security Software. Los nombres de estos procesos son:

  • DefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8, sqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter, VMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter, msmdsrv, tomcat6, QBCFMonitorService
  • exe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe, wxServerView.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, axlbridge.exe, 360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, wdswfsafe.exe

Luego utiliza varias herramientas de Windows para ejecutar comandos con el fin de borrar los backups de seguridad, y copias shadow:

Imagen 2. Comandos ejecutados por Avaddon.

Finalmente, utiliza la API SHEmptyRecycleBinW para eliminar los contenidos de la papelera de reciclaje para evitar que el usuario pueda recuperar algún archivo o versión previa de algún archivo que la víctima haya eliminado con anterioridad.

Avaddon comienza el proceso de cifrado de archivos en el disco local y discos de red, evitando los siguientes directorios:

  • C:PERFLOGS
  • C:PROGRAM FILES (X86), C:PROGRAM FILES, C:PROGRAMDATA
  • C:USERS{Nombre de usuario}APPDATA
  • C:USERS{Nombre de usuario}APPDATALOCALTEMP
  • C:USERSPUBLIC
  • C:WINDOWS

Los archivos que encuentra son descartados por su extensión, a fin de evitar cifrar archivos que puedan causar fallos en el sistema:

  • .exe, .bin, .sys, .ini, .dll, .lnk, .dat, .drv, .rdp, .prf, .swp

También tiene un listado de extensiones las cual son de alta prioridad, estas pertenecen archivos relacionados con base de datos SQL:

Los datos son cifrados utilizando una combinación de AES-256 y RSA-2048. Los datos cifrados se reescriben en el archivo original y se añade al final un marcador de cifrado que le permite a Avaddon evitar archivos que ya han sido cifrados previamente, así como también identificar los archivos cifrados y descifrarlos si la victima paga para obtener el descifrador que ofrecen los criminales.

Imagen 3. Función de cifrado en Avaddon.

En las muestras que analizamos, los archivos que son cifrados correctamente son renombrados con la extensión .BeCecbaDBB. Como podemos observar en la Imagen 4, el tipo de archivos que comúnmente cifra son documentos, imágenes, archivos de audio y archivos de video.

Imagen 4. Vista de una carpeta con varios tipos de archivos que fueron cifrados por Avaddon.

Finalmente, el ransomware crea un archivo .TXT que contiene la nota de rescate {aleatorio}_readme_.txt como podemos observar en la Imagen 5.

Imagen 5. Nota de rescate de Avaddon en texto plano que es utilizada por varias configuraciones.

Hay otros casos donde la nota es un archivo .HTML con una estética muy similar a la que utilizan en el sitio web de Avaddon.

Imagen 6. Nota de rescate de otras versiones de Avaddon. (Fuente: @GrujaRS)

Considerando que la idea de pagar no debería ser la primera opción, ya que no solo es imposible saber si efectivamente los criminales proporcionarán el descifrador o no y que como ya se ha mencionado en reiteradas oportunidades pagando estimulamos la actividad criminal al hacer que sea rentable para los atacantes, la primera opción tanto para empresas como usuarios debería ser la prevención.

Teniendo esto en cuenta, algunas recomendaciones son.

  • Hacer backup de la información de manera periódica
  • Instalar una solución de seguridad confiable
  • Utilizar una solución de cifrado de archivos
  • Capacitar al personal sobre los riesgos que existen en Internet y cómo evitarlos
  • Mostrar las extensiones ocultas de los archivos por defecto
  • Analizar los adjuntos de correos electrónicos
  • Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData
  • Deshabilitar RDP cuando no sea necesario
  • Actualizar el software de dispositivos de escritorio, móviles y de red
  • Crear políticas de seguridad y comunicarlas a los empleados



[ad_2]

Source link

https://dpslotgacor.com/ https://abrobiotec.com/ https://escortkarachi.xyz/ https://efbeschott.com/ https://sherbrookeheadshots.com/ https://heylink.me/dpslot1/ https://dpslotwin.com/ dpslot pgslot pgslot dpslot https://elektrikcim.net/ https://oksijenkonsantratorleri.com/ https://fullgames.us/ https://bigtimeshoppers.com/ https://mermercilerfihristi.com/ hkpools https://bambuddhalounge.com/ https://www.oksijencihazitamiri.com/ http://123.195.133.10/ pgslot dewaslot dewaslot jagoslot https://yildiraykenar.com/ https://denizliportal.com/ https://eng.gazyikama.com/ https://tankimalati.com/ https://diabeticgastro.com/ http://162.240.214.6/ https://hypeyou.tv/ https://gurbetgulu.com/ https://lawyerteam.siriusrealestateturkey.com/ https://www.recepocaknakliyat.com/ https://www.camlikkamping.com/ https://www.crunchbase.com/organization/dpslot https://doganortopedi.com/ https://sistem-informasi.com/ https://havranmikroyazilim.projeegitim.com/ https://gomecmikroyazilim.projeegitim.com/ https://edremitmikro.projeegitim.com/ https://dikilimikroyazilim.projeegitim.com/ https://burhaniyemikroyazilim.projeegitim.com/ https://ayvalikyazilim.projeegitim.com/ https://apixol.com/ https://www.viralcovert.com/ https://solschism.org/ https://pamplusmus.com/ https://sitiodato.com/ https://radiosoloexitos.com/ https://xn--viasyparrasdelsur-gxb.com/ https://maquindecolombia.com/ https://stiejambi.ac.id/landing/ https://stiejambi.ac.id/landing/css/ https://stiejambi.ac.id/admin/ https://miportal.mts.edu.pe/ https://enriquefeldman.com/ https://www.denikbhaskarvibes.com/ https://conocimientodiario.com/ https://deskawisdom.com/