Le groupe de ransomware Avaddon ferme boutique et livre ses clés

Spread the love
Le groupe de ransomware Avaddon ferme boutique et livre ses clés

Le groupe de ransomware Avaddon, l’un des groupes de ransomware les plus prolifiques en 2021, a annoncé qu’il mettait fin à ses activités et offrait gratuitement à des milliers de victimes un outil de décryptage.

Lawrence Abrams, de BleepingComputer, affirme avoir reçu un e-mail anonyme contenant un mot de passe et un lien vers un fichier ZIP nommé “Decryption Keys Ransomware Avaddon”.

Le fichier contenait les clés de déchiffrement de 2 934 victimes du ransomware Avaddon. Ce chiffre surprenant illustre le fait que de nombreuses organisations ne divulguent jamais les attaques : certains articles ont précédemment attribué seulement 88 attaques au groupe Avaddon.

publicité

Un outil gratuit pour les victimes d’Avaddon

Lawrence Abrams a travaillé avec Fabian Wosar, directeur technique d’Emsisoft, et Michael Gillespie, de Coveware, pour vérifier les fichiers et les clés de déchiffrement. Emsisoft a créé un outil gratuit que les victimes d’Avaddon peuvent utiliser pour déchiffrer leurs fichiers.

Les groupes de ransomware – comme ceux qui sont à l’origine de Crysis, AES-NI, Shade, FilesLocker, Ziggy – ont parfois publié des clés de déchiffrement et cessé leurs activités pour diverses raisons. Un outil de déchiffrement gratuit d’Avaddon a été publié par un étudiant en Espagne en février, mais le groupe a rapidement mis à jour son logiciel malveillant pour le rendre à nouveau infaillible.

« Cette situation n’est pas nouvelle et n’est pas sans précédent. Plusieurs acteurs malveillants ont publié la base de données des clés ou les clés maîtresses lorsqu’ils ont décidé de mettre fin à leurs opérations », indique Fabian Wosar à ZDNet. « En fin de compte, la base de données des clés que nous avons obtenue suggère qu’ils avaient au moins 2 934 victimes. Etant donné que la rançon moyenne d’Avaddon s’élève à environ 600 000 dollars et les taux de paiement moyens pour les ransomwares, vous pouvez probablement arriver à une estimation décente de ce qu’Avaddon a généré. »

Un arrêt planifié

Fabian Wosar ajoute que les personnes à l’origine d’Avaddon ont probablement gagné suffisamment d’argent avec les ransomwares pour ne plus avoir de raison de continuer. Selon lui, les négociateurs de rançons ont remarqué une certaine urgence dans leurs négociations avec les opérateurs d’Avaddon ces dernières semaines. Le groupe cédait « instantanément aux contre-offres les plus maigres de ces deux derniers jours ». « Cela suggère donc qu’il s’agissait d’un arrêt et d’une liquidation planifiés des opérations et que cela n’a pas surpris les personnes impliquées », explique-t-il.

Les données de RecordedFuture montrent qu’Avaddon est à l’origine de près de 24 % de tous les incidents de ransomware depuis l’attaque contre Colonial Pipeline en mai. Un rapport d’eSentire sur les ransomwares indique qu’Avaddon a été vu pour la première fois en février 2019 et a fonctionné sur un modèle de ransomware-as-a-service, les développeurs du logiciel donnant aux affidés un pourcentage négociable de 65 % de toutes les rançons.

« Les membres du groupe Avaddon sont également censés offrir à leurs victimes un soutien et des ressources 24 heures sur 24 et 7 jours sur 7 sur l’achat de bitcoins, le test des fichiers pour le déchiffrement et d’autres défis qui peuvent empêcher les victimes de payer la rançon », indique le rapport. « Ce qui est intéressant avec ce groupe de ransomware, c’est la conception de son site de blog sur le Dark Web. Non seulement ils prétendent fournir des archives complètes des documents de leurs victimes, mais ils présentent également une horloge de compte à rebours, indiquant le temps qu’il reste à chaque victime pour payer. Et pour mettre encore plus de pression sur leurs victimes, ils menacent de lancer un DDoS sur leur site web si elles n’acceptent pas de payer immédiatement. »

Des victimes de premier plan

img-8885-1.jpg

DomainTools.

Le groupe possède une longue liste de victimes de premier plan, parmi lesquelles Henry Oil & Gas, le géant européen de l’assurance AXA, la société de matériel informatique EVGA, la société de logiciels Vistex, le courtier d’assurance Letton Percival, la société aéroportuaire du gouvernement indonésien PT Angkasa Pura I, Acer Finance et des dizaines d’organismes de santé comme Bridgeway Senior Healthcare dans le New Jersey, Capital Medical Center à Olympia, Washington, etc.

Le FBI et le Centre australien de cybersécurité ont publié des avis le mois dernier mettant en garde les établissements de santé contre la menace du ransomware Avaddon.

L’équipe de recherche Photon de Digital Shadows expliquait à ZDNet en mai qu’un représentant du ransomware Avaddon s’était rendu sur le forum Exploit pour annoncer de nouvelles règles pour ses affidés, notamment l’interdiction de cibler « les secteurs public, éducatif, sanitaire et caritatif ».

Le groupe a également interdit aux affidés d’attaquer la Russie ou tout autre pays de la CEI. Le président américain Joe Biden devrait faire pression sur le président russe Vladimir Poutine au sujet des attaques par ransomware lors d’un sommet à Genève le 16 juin.

Source : ZDNet.com

Leave a Reply