Ransomware Avaddon: principales características

Muchos grupos de ransomware adoptaron la modalidad extorsiva del doxing; es decir, el robo de información de los sistemas comprometidos previo al cifrado para luego amenazar a las víctimas con publicar la información en caso de no querer llegar a un acuerdo para el pago del rescate. En el caso de Avaddon, si bien de acuerdo con las muestras analizadas y los hashes públicos que observamos no detectamos la capacidad de robar información desde el equipo infectado, los operadores detrás de este ransomware cuentan con un sitio en la red TOR creado principalmente para este fin en el que publicaron supuesta información de las víctimas.

Además del doxing, otra estrategia extorsiva que el grupo dice llevar adelante son los ataques de DDoS sobre los sitios de las víctimas para de esta manera interrumpir el funcionamiento y que los usuarios no puedan acceder.

Por último, una vez que Avaddon logra acceso a una red realizó la primera tarea de reconocimiento para identificar principalmente bases de datos, backup y copias shadow, y también buscando la forma escalar privilegios dentro de la red.

Según publicó el Centro de Ciberseguridad de Australia en mayo de 2021, el monto promedio que solicitan los atacantes para recuperar los archivos es de 0.73  bitcoins, que equivale aproximadamente 40.000 dólares.

Principales características del ransomware Avaddon

Estas son algunas de sus principales características:

  • Como vector de propagación suele utilizar correos de phishing que buscan engañar al usuario haciéndole creer que hay una imagen comprometedora de ellos en el adjunto, aunque también se ha visto utilizar en sus comienzos archivos Excel con macros maliciosas, y más adelante hacer uso de credenciales de acceso débiles en servicios de acceso remoto, como RDP y redes VPN.
  • Desarrollado en C++ y no utiliza herramientas de empaquetado ni ofuscación.
  • Utiliza técnicas para dificultar el análisis: anti-VM, anti-debugging, utilización de tablas de strings cifradas encapsuladas en objetos.
  • Busca archivos en discos locales y discos de red, teniendo como prioridad el cifrado de bases de datos.
  • Doble cifrado con combinación de algoritmos AES-256 y RSA-2048.
  • Los archivos cifrados en la muestras analizadas quedan con una extensión generalmente de 10 caracteres como .BeCecbaDBB, aunque se han visto que en las primeras los archivos quedaban con otras extensiones como .avdn.
  • Termina procesos que puedan impedir el cifrado de archivos.
  • Utiliza comandos de Windows para eliminar copias de seguridad del sistema, y copias shadow.


Mecanismos para lograr establecer persistencia

Antes de establecer persistencia en el sistema, Avaddon intenta elevar sus privilegios a través de un bypass en el User Account Control (UAC), que es bien conocido y ha sido utilizado por varias familias de malware. Si tiene éxito, se copia así mismo en la carpeta AppData\Roaming del usuario actual.

Utiliza dos tipos de métodos para ser ejecutado en el próximo inicio del sistema, o cuando la víctima inicia sesión en el sistema:

  • Registrando una Tarea Programada (Scheduled Task)
  • Registrandose en {HKLM|HKU}\Software\Microsoft\Windows\CurrentVersion\Run

Cifrado de archivos de este ransomware

Una vez concluido el proceso de persistencia, Avaddon prepara el sistema terminando los procesos que puedan interferir con el acceso a los archivos. Para esto descifra dos listas de nombres asociados a software tales como: Microsoft SQL, Microsoft Word, QuickBooks, Remotely Anywhere, VMWare, y Java entre otros, así como también tres soluciones de seguridad: Symantec, 360 Secure Browser, G Data Security Software. Los nombres de estos procesos son:

  • DefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8, sqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter, VMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter, msmdsrv, tomcat6, QBCFMonitorService
  • exe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe, wxServerView.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, axlbridge.exe, 360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, wdswfsafe.exe

Consejos para prevenir un incidente

Considerando que la idea de pagar no debería ser la primera opción, ya que no solo es imposible saber si efectivamente los criminales proporcionarán el descifrador o no y que como ya se ha mencionado en reiteradas oportunidades pagando estimulamos la actividad criminal al hacer que sea rentable para los atacantes, la primera opción tanto para empresas como usuarios debería ser la prevención.

Teniendo esto en cuenta, algunas recomendaciones son.

  • Hacer backup de la información de manera periódica
  • Instalar una solución de seguridad confiable
  • Utilizar una solución de cifrado de archivos
  • Capacitar al personal sobre los riesgos que existen en Internet y cómo evitarlos
  • Mostrar las extensiones ocultas de los archivos por defecto
  • Analizar los adjuntos de correos electrónicos
  • Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData
  • Deshabilitar RDP cuando no sea necesario
  • Actualizar el software de dispositivos de escritorio, móviles y de red
  • Crear políticas de seguridad y comunicarlas a los empleados

Regresar a Noticias
Contáctanos
Llámanos
PGP/GPG Key
For encrypted email communications, use the following PGP/GPG key:

PGP/GPG key: 0x07269380
Fingerprint: E637 674B B744 19223837 D14E 76C1 0E32 0726 9380
Visítanos
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.
English Español