El FBI afirma que ha recibido notificaciones de ciberactores no identificados que utilizan el ransomware Avaddon.

El grupo de ciberdelincuentes Avaddon dio 240 horas, es decir 10 días, para que Pronósticos Deportivos de la Lotería Nacional paguen el rescate de la información secuestrada, según la firma de seguridad Seekurity.

«Contamos con datos como contratos y convenios de 2009 a 2021, documentos legales, correspondencia, finanzas, datos notariales, outsourcing, y mucho más», indican los ciberdelincuentes en el mensaje

El ataque es el denominado ransomware donde los delincuentes cibernéticos secuestran equipos y sistemas informáticos a cambio de que se pague un rescate, sin embargo, de acuerdo con expertos, no se debe realizar el pago, pues este no garantiza que se recupere la información secuestrada.

Qué se sabe sobre Avaddon

Tanto el Centro Australiano de Seguridad Cibernética (ACSC) como la Oficina Federal de Investigaciones (FBI) de EU han emitido advertencias sobre una campaña de ciberdelincuencia en curso que utiliza el ransomware Avaddon.

El FBI afirma que ha recibido notificaciones de ciberactores no identificados que utilizan el ransomware Avaddon contra empresas del sector privado, organizaciones de fabricación y agencias de atención médica estadounidenses y extranjeras.

En un aviso separado, la ACSC dice que también está al tanto de una campaña de ransomware en curso que utiliza el malware Avaddon Ransomware. Esta campaña está dirigida activamente a organizaciones australianas en una variedad de sectores.

Ransom.Avaddon se vende a afiliados criminales como una cepa de Ransomware-as-a-Service (RaaS). Ha existido desde 2019 y en junio de 2020 obtuvo algo de tracción real debido a una campaña de malspam.

Posteriormente, comenzó a promover tarifas más altas para sus afiliados mediante anuncios en redes y RDP. Avaddon ransomware realiza un cifrado en modo fuera de línea utilizando AES-256 + RSA-2048 para cifrar archivos. Cuando se cifran, los archivos obtienen la extensión .avdn.

Descripción del FBI de Avaddon

Avaddon se utiliza en ataques de ransomware dirigidos a «empresas grandes».

Según el FBI, los actores del ransomware Avaddon han comprometido a las víctimas a través de credenciales de inicio de sesión de acceso remoto, como el Protocolo de escritorio remoto (RDP) y las Redes privadas virtuales (VPN).

Una vez que los actores de Avaddon obtienen acceso a la red de una víctima, mapean la red e identifican copias de seguridad para su eliminación y / o cifrado.

El malware aumenta los privilegios, contiene un código de protección anti-análisis, permite la persistencia en un sistema de la víctima y verifica que la víctima no se encuentre en la Comunidad de Estados Independientes (CEI). Por último, se extrae una copia de los datos de la víctima antes de cifrar los sistemas de la víctima.

Sin miedo a la aplicación de la ley

Como muchos otros operadores de ransomware provenientes del CIS, actúan como si no tuvieran nada que temer de las fuerzas del orden.

Algunas pandillas rusas incluso se han vuelto agresivas contra las fuerzas del orden en Estados Unidos. Las estadísticas sobre cuántos departamentos de policía se han visto afectados por ataques de ransomware son difíciles de obtener, al igual que la información sobre si los departamentos alguna vez pagan un rescate. El secretario de Seguridad Nacional, Alejandro Mayorkas, calificó al ransomware como una amenaza para la seguridad nacional y dijo que el tema es una de las principales prioridades de la Casa Blanca. Ese sentimiento se hizo eco en un informe reciente del Grupo de trabajo sobre ransomware.

Ransomware como servicio (RaaS)

Avaddon se ofrece como Ransomware-as-a-Service (RaaS), un sistema que permite que los afiliados hagan el trabajo sucio y utilicen el ransomware como quieran, siempre que devuelvan un porcentaje de sus ganancias a los desarrolladores de Avaddon.

La ACSC señala que Avaddon también tiene una presencia activa en foros clandestinos de delitos informáticos de la web oscura (Dark Web), donde anuncia el malware a posibles afiliados. Los actores de amenazas de Avaddon también utilizan un sitio de filtración de datos para identificar a las víctimas que no pagan o se niegan a pagar las demandas de rescate.

Por lo general, con RaaS, verá que los afiliados ejecutan diferentes vectores de distribución y se miran unos a otros para ver qué funciona mejor. Probablemente debido a este modelo hemos visto Ransom.Avaddon propagado por una botnet, en campañas de malspam, por exploit kits (RIG-EK), y recientemente por la fuerza bruta de las credenciales RDP y VPN.

 

 

Agregar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *