Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El grupo ransomware Avaddon cierra y entrega llaves descifrado


El grupo de ransomware Avaddon desaparece y publica 2,934 llaves de cifrado al portal especializado de noticias seguridad informática BleepinComputer, con lo que sus víctimas podrán descifrar gratuitamente los ficheros con una herramienta gratuita de Emsisoft   Esta es una gran noticia, ya que aunque Avaddon fue considerado un operador de ransomware de segundo nivel, desde el ataque Colonial Pipeline han estado emparejados con Conti en términos de número de víctimas publicadas en su sitio de extorsión.




El grupo ransomware Avaddon ha cerrado y ha entregado las claves de descifrado de sus víctimas a BleepingComputer. El cierre de Avaddon surgió de la nada y ha sorprendido a la comunidad de investigadores de seguridad.

Después de la desaparición de la banda de ransomware Darkside a raíz del ataque Colonial Pipeline, la banda Avaddon se había movido de manera muy agresiva para llenar el vacío dejado en el mercado, dijo a The Record Allan Liska, un analista de seguridad de Recorded Future que rastrea las operaciones de ransomware.

BleepingComputer recibió un aviso anónimo que pretendía ser del FBI y que contenía una contraseña y un enlace a un archivo ZIP protegido por contraseña. Este archivo decía ser "Decryption Keys Ransomware Avaddon" y contenía los tres archivos. Después de compartir los archivos con de Emsisoft y Michael Gillespie de Coveware, confirmaron que las claves son legítimas.

En total, los actores de la amenaza enviaron 2.934 claves de descifrado, donde cada clave corresponde a una víctima específica. Emsisoft ya publicó descifrador gratuito con esas claves.

Si bien no sucede con la suficiente frecuencia, los grupos de ransomware han publicado previamente claves de descifrado, como un gesto de buena voluntad cuando cierran o lanzan una nueva versión. 



En el pasado, se lanzaron claves de descifrado para TeslaCrypt, Crysis, AES-NI, ShadeFilesLocker, Ziggy, y FonixLocker

BitDefender también ha publicado una herramienta de descifrado para las víctimas de Avaddon

Avaddon lanzó su operación en junio de 2020 a través de una campaña de phishing que sólo contenía un guiño sonriente. Con el tiempo, Avaddon se ha convertido en una de las operaciones de ransomware más importantes, y el FBI y la policía australiana publicaron recientemente avisos relacionados con el grupo.

"Avaddon estaba vinculado con Conti en la mayor parte de las extorsiones de ransomware publicadas desde el ataque Colonial Pipeline. Cincuenta y nueve víctimas publicadas desde el 7 de mayo, 182 en total desde el lanzamiento en agosto de 2020.

Avaddon pasó del 6,9% de víctimas al 23,7%

Crecimiento de Avaddon número de víctimas:
 
A diferencia de otras bandas de ransomware que cierran sus operaciones a través de mensajes pomposos publicados en línea, la banda Avaddon parece haber desaparecido de la faz de la tierra. Los mensajes a una cuenta de su foro, ahora borrado, no fueron devueltos. También se han eliminado todas las publicaciones realizadas desde esa cuenta.

Una teoría que gana terreno en la comunidad de seguridad sugiere que el grupo puede estar entrando en una fase de "cambio de nombre", algo que muchas otras pandillas han hecho antes, como Nemty-to-Nefilim y Gandcrab-to-REvil. Poco después del ataque Colonial Pipeline, la pandilla Avaddon también anunció planes para volverse privados y trabajar solo con un número seleccionado de afiliados para sus intrusiones. Cambiar la marca y volverse privado sería una buena manera para que la pandilla Avaddon "pierda" a las agencias de aplicación de la ley y las firmas de seguridad que actualmente siguen sus movimientos.

Todos los sitios Tor de Avaddon son inaccesibles, lo que indica que es probable que la operación de ransomware se haya cerrado.

Además, las firmas de negociación de ransomware vieron una loca carrera por parte de Avaddon en los últimos días para finalizar los pagos de rescate de las víctimas impagas existentes. La demanda de rescate promedio de Avaddon fue de alrededor de U$S 600k.

Sin embargo, en los últimos días, Avaddon ha estado presionando a las víctimas para que paguen y acepten la última contraoferta sin ningún rechazo, lo que Siegel afirma que es anormal. No está claro por qué Avaddon cerró, pero probablemente fue causado por el aumento de la presión y el escrutinio por parte de las fuerzas del orden y los gobiernos de todo el mundo después de los recientes ataques contra infraestructuras críticas.

"Las acciones recientes de la aplicación de la ley han puesto nerviosos a algunos actores de amenazas: este es el resultado. Uno menos, y esperemos que otros también caigan", dijo Brett Callow, analista de amenazas de Emsisoft.

Con los recientes ataques contra Colonial Pipeline y JBS, el ransomware se ha convertido en una prioridad del gobierno de EE.UU. Como se cree que la mayoría de las operaciones de ransomware más importantes se realizan en Rusia u otros países de la CEI, el presidente Biden discutirá estos recientes ataques de ransomware con el presidente ruso Vladimir Putin en la cumbre de Ginebra del 16 de junio

Fuentes:

https://blog.segu-info.com.ar/2021/06/ransomware-avaddon-cierra-su-operacion.html

https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.