您现在的位置是：首页 > 文章详情

金盆洗手？Avaddon组织在停止恶意攻击前发布了全部解密密钥

日期：2021-11-28点击：417收藏

最近，不知是出于什么原因，Avaddon勒索软件背后的黑客向安全研究人员主动寄出解密密钥。一封假装来自联邦调查局的电子邮件已经发出，其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给来自EMSIsoft的名为Fabian Wosar的安全研究员和来自Coverware的Michael Gillespie。这两名研究人员调查了电子邮件所附的软件，并确定它是无害的，并且包含了为成为Avaddon勒索软件受害者的用户提供的解密密钥。Emsisoft与BleepingComputer分享了一个测试解密器，实验证明可以解密一个用Avaddon最近的样本加密的虚拟机。

Avaddon总共发布了2934个解密密钥，每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序，任何该软件的受害者都可以用它来免费恢复他们的文件，该解密程序文件可以在这里访问到。

根据分析，Avaddon组织已经停止了恶意攻击活动。经确认托管在 Tor 网络隐藏服务上的 Avaddon 网站目前已经不可用，这说明该组织的活动已被关闭。

关闭背后的原因仍然未知，但可能与Colonial Pipelin事件以及美国的法律法规有关。今年美国燃油燃气管道运营商Colonial Pipeline遭到黑客攻击，被迫支付赎金。国土安全部发言人萨拉佩克在一份声明中表示，拜登政府正在采取进一步行动，以更好地保护我们国家的关键基础设施。运输安全管理局正与网络安全和基础设施安全局密切合作，与管道行业的公司进行协调，以确保它们采取必要措施，提高自身应对网络威胁的能力，并保护自己的系统。

Avaddon的历史

Avaddon于2020被发现，一开始只是通过垃圾邮件展开攻击，提供勒索软件即服务(RaaS)，后来，攻击者开发出恶意广告及远程桌面攻击，甚至是在成功感染企业之后，进一步发动分布式服务阻断攻击以逼迫受害者支付赎金，Avaddon的活跃程度使得美国FBI与澳洲的网络安全中心曾公开警告企业小心来自Avaddon的攻击。

Avaddon组织首现于某俄罗斯黑客论坛，Avaddon勒索软件的特点有：

C++编写，使用WinAPI，不依赖第三方;支持Windows7以上版本;文件加密算法：AES256 + RSA2048;支持IOCP异步通知机制;支持内网扫描，如SMB扫描、DFS扫描;使用PowerShell的无文件落地;反检测机制，设置注册表来绕过UAC;加密的文件扩展名包括：MS Office文档、PDF、文本、数据库、图像文件和音频文件;多线程文件加密以获得最大性能;加密所有本地和远程和可访问驱动器;IOCP 支持并行文件加密;持续加密新写入的文件和新连接的媒体;能够跨网络共享(SMB、DFS)传播;多种传播选项(脚本、PowerShell、.EXE 有效负载 .DLL);Payload 以管理员身份执行;加密隐藏文件和卷;删除垃圾、卷影副本 (VSS) 和其他还原点;终止禁止加密文件的进程。

为了谋取更多的利益，Avaddon组织会与其他组织合作，比如臭名昭著的Phorpiex僵尸组织。该模式为典型的AaaS(Access as a Service，访问即服务)，即Avaddon勒索团伙通过其他黑产团伙提供肉鸡访问权限来扩大勒索面，从而谋取更多的利益。后来，Avaddon勒索组织又开发出了使用窃取数据威胁受害者缴纳赎金的获利模式。据统计，已有多个目标被Avaddon勒索组织在暗网上公开隐私文件，比如保险信息和项目档案等。

技术迭代过程

Avaddon 通常通过网络钓鱼活动通过包含混淆的 JPEG 或 ZIP 附件(实际上是带有宏的 JavaScript 或 Excel)的电子邮件进行传播。然而，勒索软件利用了其他几种感染媒介，包括被其他恶意软件(Smoke Loader、Phorpiex/Trik、Rigek 等)下载或在信息系统遭到破坏后直接传播，特别是通过远程桌面协议 (RDP) 和虚拟专用网络。

在一项调查中，Avaddon 的传播主要是依赖缺乏虚拟网络更新和不安全的密码，然后获得 Active Directory 域的最大权限，收集和泄露敏感数据，并在多台计算机上部署他的加密软件。

Avaddon 的加密机制避开了 Windows 系统的关键区域，允许受害者使用他们的计算机并目睹损坏。如果赎金未在十天(240 小时)内支付，该组织将在其数据泄露网站上公布所有被盗数据。