Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Análisis ransomware Avaddon


La familia de ransomware Avaddon se vio por primera vez en febrero de 2020, pero emergió por completo como un modelo robusto de Ransomware-as-a-Service (RaaS) en junio de ese año. Durante los últimos 9 meses aproximadamente, el operador detrás de Avaddon ha tenido éxito en la construcción de una marca sólida y confiable, moviéndose rápidamente para apoyar a los afiliados con una actualización después de que los investigadores de seguridad lanzaron un descifrador público en febrero de 2021. Desde entonces, hemos observado un aumento en la actividad de Avaddon y tenga en cuenta que el actor participa activamente en el desarrollo de la "Versión 2" de esta oferta agresiva de RaaS.




Crece el número de víctimas del ransomware Avaddon en América Latina

El ransomware Avaddon ya acumula al menos cinco víctimas en la región y amenaza con filtrar información robada y realizar ataques de DDoS en caso de no pagar el rescate.

Also remember that data cannot be decrypted without our general decryptor. And your site will be attacked by a DDoS attack.
XXX, the company does not want to cooperate with us, so we give them 240 hours to communicate and cooperate with us. If this does not happen before the time counter expires, we will leak valuable company documents
  • Nuevos métodos de extorsión utilizados por los grupos de ransomware
El español Javier Yuste publicó en el pasado 8 de febrero una herramienta de descifrado gratuita y de código abierto en GitHub que permitía a las víctimas de Avaddon recuperar sus archivos en la mayoría de los casos. Esta herramienta recorre la memoria RAM en busca de suficiente información como para rearmar la clave de cifrado original y, en caso de obtenerla, puede descifrar los archivos sin necesidad de los cibercriminales.

Tres días después de la publicación de la herramienta, los criminales explicaron que las debilidades fueron reparadas, y aprovecharon para ofrecer un descuento a quienes contraten sus “servicios” como compensación.


El grupo de ransomware Avaddon,  es conocido por utilizar las macros de Excel 4.0 como vector de infección, y por utilizar los ataques de denegación de servicio distribuidos (DDoS), como estrategia para presionar a sus víctimas a realizar el pago de rescate de la infección.

Es el tercer ransomware en emplear este tipo de estrategia, ya que los grupos detrás de los ransomware SunCrypt y RagnarLocker empezaron a utilizarla a finales de 2020.

Características del ransomware Avaddon

Estas son algunas de sus principales características:

  • Como vector de propagación suele utilizar correos de phishing que buscan engañar al usuario haciéndole creer que hay una imagen comprometedora de ellos en el adjunto, aunque también se ha visto utilizar en sus comienzos archivos Excel con macros maliciosas, y más adelante hacer uso de credenciales de acceso débiles en servicios de acceso remoto, como RDP y redes VPN.
  • Desarrollado en C++ y no utiliza herramientas de empaquetado ni ofuscación.
  • Utiliza técnicas para dificultar el análisis: anti-VM, anti-debugging, utilización de tablas de strings cifradas encapsuladas en objetos.
  • Busca archivos en discos locales y discos de red, teniendo como prioridad el cifrado de bases de datos.
  • Doble cifrado con combinación de algoritmos AES-256 y RSA-2048.
  • Los archivos cifrados en la muestras analizadas quedan con una extensión generalmente de 10 caracteres como .BeCecbaDBB, aunque se han visto que en las primeras los archivos quedaban con otras extensiones como .avdn.
  • Termina procesos que puedan impedir el cifrado de archivos.
  • Utiliza comandos de Windows para eliminar copias de seguridad del sistema, y copias shadow.

Descripción general de Avaddon RaaS

Después de avistamientos iniciales en ataques desde febrero de 2020 en adelante, Avaddon emergió por completo como RaaS en junio de 2020. Fue muy promocionado en los mercados clandestinos como un servicio de ransomware rápido, personalizado, altamente configurable y con buen soporte.

El operador de Avaddon ofreció a los socios términos bastante estándar con RaaS tomando un recorte inicial del 25%, pero dispuesto a reducir ese porcentaje para los afiliados de mayor volumen. Durante los meses siguientes, Avaddon se convirtió en uno de los grupos de ransomware más agresivos dirigidos tanto a personas como a empresas. Siguiendo el modelo de otras familias de RaaS que vinieron antes, Avaddon pronto puso un sitio de blog dedicado a filtrar datos de víctimas en caso de que las víctimas no pagaran la demanda de rescate.

Desde sus inicios, Avaddon se negó a aceptar afiliados dirigidos a países de la CEI (Comunidad de Estados Independientes). Esto además de ser crítico con cualquier trato con personas de habla no rusa.



Desde el principio, Avaddon promocionó su velocidad, capacidad de configuración y sólido conjunto de funciones. La primera versión de Avaddon se anunció con las siguientes características:


  • Cargas útiles únicas escritas en C ++
  • Cifrado de archivos a través de AES256 + RSA2048, compatible con cifrado de archivo completo y parámetros personalizados
  • Soporte completo fuera de línea, no se requiere contacto inicial con C2
  • Descifrado "imposible" de terceros
  • Soporte para Windows 7 y superior
  • Cifrado de archivos multiproceso para un rendimiento máximo
  • Cifrado de todas las unidades locales y remotas (y accesibles)
  • Soporte IOCP para cifrado de archivos en paralelo
  • Cifra de forma persistente los archivos recién escritos y los medios recién conectados
  • Capacidad para distribuirse en recursos compartidos de red (SMB, DFS)
  • Varias opciones de entrega (script, PowerShell, carga útil .EXE, .DLL)
  • Payload se ejecuta como administrador
  • Cifra archivos y volúmenes ocultos
  • Elimina la basura, las instantáneas de volumen (VSS) y otros puntos de restauración
  • Terminación de procesos que inhiben el cifrado de archivos.
  • Comportamiento configurable de la nota de rescate


Inicialmente, los afiliados pudieron construir y administrar su carga útil a través de un elegante panel de administración alojado a través de TOR (.onion). El panel permitió la gestión de campañas específicas, tipos y comportamientos de pago, seguimiento y gestión de víctimas. También sirvió como portal a los recursos de soporte técnico de Avaddon.

Durante las siguientes semanas, Avaddon cobró un gran impulso, continuó publicitando contrataciones y se jactó de su cobertura en la prensa.

En la segunda mitad de 2020, Avaddon continuó construyendo su base infectada, al mismo tiempo que continuó mejorando el servicio y las cargas útiles.

Cuando los motores AV comenzaron a agregar reglas de detección para Avaddon, el operador respondió con actualizaciones frecuentes para garantizar el nivel deseado de sigilo. A fines de junio de 2020, el malware agregó la opción de lanzar cargas útiles a través de PowerShell.

Cómo se distribuye Avaddon

El método de distribución qué más se ha visto en el caso de Avaddon es a través de correos de phishing que incluyen un archivo JScript malicioso adjunto que utiliza una segunda extensión “.ZIP” para hacerle creer a la potencial víctima que se trata de un archivo comprimido que contiene una foto comprometedora que ha sido descubierta en la web. El código JScript a su vez ejecuta comandos de Powershell para descargar el ransomware de un servidor web y guardarlo en el directorio %TEMP% del equipo de la víctima para luego ejecutar el malware.

En agosto de 2020, se realizaron algunas actualizaciones más importantes del servicio en forma de soporte 24/7. Los actores indicaron en ese momento que el soporte 24 × 7 para los afiliados ahora estaba disponible a través de sistemas de chat y venta de boletos.

Además, Avaddon fue uno de los primeros en adoptar métodos de extorsión adicionales para burlarse y publicitar la infracción de las víctimas que no cumplieron, incluido el uso de anuncios dirigidos. Los autores continuaron mejorando las cargas útiles con una mejor compatibilidad con el sistema de archivos distribuido (DFS), diferentes mecanismos de cifrado y compatibilidad con la carga útil de DLL.

El año nuevo 2021 trajo más cambios a la plataforma Avaddon. En enero, el actor agregó soporte para Windows XP y 2003 en las cargas útiles, así como ajustes al conjunto de funciones de cifrado. En particular, Avaddon fue uno de los primeros en agregar ataques DDoS como otro mecanismo de intimidación más a su arsenal: si los clientes no cumplían con las demandas de rescate, podían experimentar un ataque DDoS dañino además de que sus datos se filtraran al público. y cualquier deterioro de su reputación como resultado de la infracción.


Mecanismos persistencia

Antes de establecer persistencia en el sistema, Avaddon intenta elevar sus privilegios a través de un bypass en el User Account Control (UAC), que es bien conocido y ha sido utilizado por varias familias de malware. Si tiene éxito, se copia así mismo en la carpeta AppData\Roaming del usuario actual.

Utiliza dos tipos de métodos para ser ejecutado en el próximo inicio del sistema, o cuando la víctima inicia sesión en el sistema:

  • Registrando una Tarea Programada (Scheduled Task)
  • Registrandose en {HKLM|HKU}\Software\Microsoft\Windows\CurrentVersion\Run

Descifrador público de Avaddon

A principios de 2021, Bitdefender lanzó una herramienta de descifrado para Avaddon. Además, un descifrador de código abierto también fue publicado por el investigador Javier Yuste en base a su extenso artículo que detalla los aspectos internos de Avaddon.

Bajo el capó, las cargas útiles de Avaddon almacenaban las claves de sesión "secretas" para el cifrado en la memoria. Esto permitió a los analistas e investigadores localizar los datos y extraer la clave para el análisis y eventual desarrollo de la herramienta de descifrado. La herramienta fue ampliamente difundida y publicada en NoMoreRansom.org.

Durante este período, incluso observamos a los actores detrás del ransomware Babuk ofreciendo asistencia técnica a los actores de Avaddon.

Los que estaban detrás de Avaddon se apresuraron a girar y pasar a un modelo completamente diferente, anulando el efecto del descifrador. También ofrecieron a los afiliados un recorte del 80% durante un mes completo como compensación.

Después de las actualizaciones necesarias para abordar los problemas de cifrado, Avaddon continuó actualizando sus servicios y conjunto de herramientas, además de volverse más agresivo con el reclutamiento. Febrero de 2021 también vio la adición del soporte de Monero.

Posteriormente, hemos observado un aumento en la actividad de Avaddon, incluidas nuevas entradas de víctimas en su blog. Las declaraciones públicas más recientes del actor indican que el desarrollo de Avaddon V2 está bien encaminado.

Desglose técnico de Avaddon RaaS

En la mayoría de los casos, el vector de entrega inicial de Avaddon es a través del correo electrónico de phishing. Sin embargo, se sabe que los afiliados utilizan RDP junto con la explotación de vulnerabilidades centradas en la red. Hemos observado correos electrónicos maliciosos con cargas útiles .js adjuntas, que a su vez recuperan las cargas útiles de Avaddon desde una ubicación remota. En algunos casos, los actores de amenazas simplemente han adjuntado el ransomware directamente a los mensajes de correo electrónico.

Las cargas útiles de Avaddon realizan comprobaciones para asegurarse de que no se estén ejecutando en un dispositivo víctima ubicado en determinadas regiones de CIS.

La función GetUserDefaultLCID () (y / o GetKeyboardLayout ()) se utiliza para determinar la configuración regional predeterminada de los usuarios. Los siguientes países quedan excluidos de la ejecución con mayor frecuencia:

  • Rusia
  • Nación Cherokee
  • Ucrania
  • Tártaro
  • Yakut
  • Sakha


Se utiliza una técnica de omisión de UAC de uso común para garantizar que la amenaza se ejecute con los privilegios necesarios. Específicamente, este es un bypass de UAC a través de la interfaz COM CMSTPLUA.

Las herramientas y utilidades de Windows existentes se utilizan para manipular y deshabilitar las opciones de recuperación del sistema, las copias de seguridad y las instantáneas de volumen. Algunas sintaxis pueden variar según las variantes. WMIC.EXE se usa generalmente para eliminar VSS a través de SHADOWCOPY DELETE / nointeractive.

También se ha observado los siguientes comandos emitidos por cargas útiles de Avaddon:

  •     bcdedit.exe /set {default} recoveryenabled No
  •     bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  •     vssadmin.exe Delete Shadows /All /Quiet
  •     wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest


Si bien ha habido cambios en la rutina de cifrado de Avaddon para combatir el descifrado de terceros, el flujo histórico, simplificado, sería:

  • Generación de clave de sesión (AES 256)
  • Actualizar clave maestra (AES 256)
  • La clave maestra encripta los datos relevantes del usuario y del entorno, junto con la nota de rescate (generalmente Base64)
  • Los archivos se cifran mediante la clave de sesión
  • Agregar la clave de sesión cifrada (RSA 2048) al final de cada archivo cifrado


Técnicas de evasión de Avaddon


Avaddon se puede configurar para finalizar procesos específicos. Esto se hace con frecuencia para identificar productos o procesos de seguridad que puedan interferir con el proceso de cifrado. Una lista de procesos de ejemplo sería:

  •   DefWatch
  •     ccEvtMgr
  •     ccSetMgr
  •     SavRoam
  •     dbsrv12
  •     sqlservr
  •     sqlagent
  •     Intuit.QuickBooks.FCS
  •     dbeng8
  •     sqladhlp
  •     QBIDPService
  •     Culserver
  •     RTVscan
  •     vmware-usbarbitator64
  •     vmware-converter
  •     VMAuthdService
  •     VMnetDHCP
  •     VMUSBArbService
  •     VMwareHostd
  •     sqlbrowser
  •     SQLADHLP
  •     sqlwriter
  •     msmdsrv
  •     tomcat6
  •     QBCFMonitorService

También se sabe que Avaddon prioriza el cifrado de directorios relacionados con Microsoft Exchange.


La mayoría de las cargas útiles de Avaddon excluirán del cifrado las siguientes ubicaciones críticas del sistema operativo:


  • C:\PERFLOGS
  • C:\PROGRAM FILES (X86)
  • C:\PROGRAMDATA
  • C:\USERS\<USER>\APPDATA
  • C:\USERS\<USER>\APPDATA\LOCAL\TEMP
  • C:\USERS\PUBLIC
  • C:\WINDOWS


Los mecanismos de persistencia también pueden variar, y hemos observado variaciones de Avaddon que utilizan la creación de un nuevo servicio de Windows, así como el uso de tareas programadas para la persistencia.

Comportamiento posterior a la infección de Avaddon

Los archivos infectados se renombran con una extensión que consta de letras generadas aleatoriamente. Estas extensiones son únicas para cada víctima.

Las versiones anteriores de Avaddon también reemplazarían la imagen de fondo de pantalla de los hosts infectados. La versión actual presenta a las víctimas una nota de rescate como se muestra a continuación. Se advierte a las víctimas que además de que sus datos están encriptados, los actores “también han descargado una gran cantidad de datos privados de su red”.

Se indica a las víctimas que visiten el portal de pago de Avaddon a través del navegador TOR, donde deben ingresar su identificación única (que se encuentra en la nota de rescate) para continuar.

Los actores detrás de Avaddon no esperan a que las víctimas se conviertan en no cumplen antes de que sean nombrados y avergonzados en el blog. Los nombres de las empresas aparecen con un temporizador, contando hacia atrás hasta el tiempo de publicación de los datos robados del entorno de destino.

Es importante tener en cuenta que las víctimas aparecen en el sitio de la fuga en el momento en que son hackeadas, y no solo cuando el actor decide divulgar sus datos. Esto significa que una infracción de la empresa podría convertirse fácilmente en de conocimiento público independientemente de cualquier acción realizada por la víctima, y potencialmente en un momento en el que la empresa objetivo preferiría "controlar la divulgación" de ese tipo de información.

Avaddon no parece tener ninguna preferencia o escrúpulos en particular cuando se trata de objetivos. Mientras que algunos grupos de ransomware han retrocedido ciertos tipos de objetivos durante la pandemia en curso, las víctimas de Avaddon hasta la fecha incluyen entidades relacionadas con la atención médica. Dicho esto, las industrias más representadas en su victimología son Tecnología y Servicios de Información, Producción de Alimentos, Servicios Legales y Manufactura.

Conclusión

Avaddon es otro ejemplo exitoso del modelo RaaS actual. Ha aparecido en escena y ha tenido un impacto muy rápidamente. Los actores son disciplinados con respecto a quién aceptarán como afiliado, lo que asegura cierto grado de longevidad y exclusividad. Además, adoptaron muy rápidamente las técnicas de extorsión más agresivas vinculadas a las familias modernas de ransomware. Esto no solo incluye la filtración pública de datos, sino también la amenaza de ataques DDoS, amenazas personales y burlas basadas en anuncios.

Todo esto, junto con los estrictos requisitos de pago para las víctimas, han colocado a Avaddon en una posición potencialmente poderosa. Todavía tienen que atraer la misma cantidad de atención de los medios que sus predecesores como Maze y Egregor, pero no hay razón para creer que Avaddon sea menos peligroso. En este momento, quienes están detrás de Avaddon están muy comprometidos con su comunidad y desarrollan e iteran activamente en respuesta a la investigación y detección de seguridad. Con la versión 2 de Avaddon en el horizonte, solo esperamos ver una mayor actividad de este actor a medida que avanzamos en 2021. 


Fuentes:

https://labs.sentinelone.com/avaddon-raas-breaks-public-decryptor-continues-on-rampage/

https://arxiv.org/abs/2102.04796

https://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.