Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Avaddon es una operación de Ransomware como Servicio (RaaS) dirigida por el grupo criminal Riddle Spider. El malware basado en C++ cifra datos locales y accesibles en la red, elimina copias sombra y utiliza un modelo de doble extorsión al amenazar con filtrar información exfiltrada. Se despliega mediante credenciales robadas, servicios RDP expuestos y web shells personalizados, y aprovecha ampliamente múltiples técnicas de anti-análisis.
Análisis del Ransomware Avaddon
El análisis detalla la base de código de Avaddon, cómo almacena su configuración, realiza verificaciones geográficas, detiene servicios, termina procesos y lleva a cabo el cifrado utilizando AES-256 con claves únicas por archivo. También enumera los servicios y procesos seleccionados para terminación y los comandos específicos utilizados para desactivar mecanismos de recuperación.
Mitigación
Los defensores deben aplicar una higiene robusta de credenciales, limitar o fortalecer la exposición de RDP, monitorizar patrones conocidos de web shells y detectar la ejecución de comandos de eliminación de copias sombra. La lista blanca de aplicaciones y mantener copias de seguridad regulares y sin conexión puede reducir significativamente el impacto del ransomware.
Respuesta
Cuando se detecta actividad de Avaddon, aísle el sistema comprometido, capture evidencia volátil, bloquee el comportamiento asociado de línea de comandos e inicie una respuesta a incidentes con imágenes forenses completas. Recupere datos de copias de seguridad confiables y sin conexión y considere la participación de las autoridades debido a las tácticas de doble extorsión.
mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes action_valid_accounts[«<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br />El adversario utiliza credenciales robadas o adivinadas para obtener acceso inicial, a menudo a través de credenciales RDP comprometidas.»] class action_valid_accounts action action_rdp[«<b>Acción</b> – <b>T1021.001 Servicios Remotos: Protocolo de Escritorio Remoto</b><br />Uso de RDP para movimiento lateral y ejecución remota de comandos después de obtener credenciales válidas.»] class action_rdp action malware_web_shell[«<b>Malware</b> – <b>T1505.003 Componente de Software del Servidor: Web Shell</b><br />Despliegue de web shells personalizados (por ejemplo, BLACKCROW, DARKRAVEN) para mantener el acceso persistente y ejecutar comandos en servidores comprometidos.»] class malware_web_shell malware action_c2_comm[«<b>Acción</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br />Los web shells proporcionan un canal de comunicación de comando y control bidireccional.»] class action_c2_comm action tool_powershell[«<b>Herramienta</b> – <b>T1059.001 Intérprete de Comandos y Script: PowerShell</b><br />Ejecución de scripts de PowerShell a través de frameworks de post-explotación como Empire o PowerSploit.»] class tool_powershell tool action_auto_collection[«<b>Acción</b> – <b>T1119 Recopilación Automatizada</b><br />Recopilación automatizada de archivos y datos antes de la exfiltración.»] class action_auto_collection action tool_7zip[«<b>Herramienta</b> – <b>T1560.001 Archivar Datos Recopilados: Archivo mediante Utilidad</b><br />Compresión de datos obtenidos utilizando 7Zip.»] class tool_7zip tool action_exfil_cloud[«<b>Acción</b> – <b>T1567.002 Exfiltración a través de Servicio Web: Exfiltración a Almacenamiento en la Nube</b><br />Carga de datos archivados a servicios en la nube como MEGAsync.»] class action_exfil_cloud action action_gather_info[«<b>Acción</b> – <b>T1592 Recopilación de Información del Host</b><br />Recopila detalles de hardware, software, firmware y configuración del cliente para la preparación de la nota de rescate.»] class action_gather_info action action_service_stop[«<b>Acción</b> – <b>T1489 Detener Servicio</b><br />Detención y eliminación de servicios y procesos relacionados con la seguridad para evitar interferencias durante el cifrado.»] class action_service_stop action action_exclusive_control[«<b>Acción</b> – <b>T1668 Control Exclusivo</b><br />Obtener el control exclusivo para eliminar copias sombra y evitar la recuperación.»] class action_exclusive_control action action_inhibit_recovery[«<b>Acción</b> – <b>T1490 Inhibir Recuperación del Sistema</b><br />Deshabilitar mecanismos de recuperación (vssadmin, wbadmin, bcdedit) y eliminar copias sombra.»] class action_inhibit_recovery action action_obfuscation[«<b>Acción</b> – <b>T1027 Archivos o Información Ofuscados</b><br />Las cadenas de configuración están codificadas en Base64 y aún más ofuscadas con operaciones aritméticas.»] class action_obfuscation action action_data_encryption[«<b>Acción</b> – <b>T1486 Datos Cifrados para Impacto</b><br />Cifrar archivos de la víctima con AES-256, utilizando claves por archivo y excluyendo directorios críticos del sistema.»] class action_data_encryption action action_hide_artifacts[«<b>Acción</b> – <b>T1564.012 Ocultar Artefactos: Exclusiones de Archivo/Ruta</b><br />Exclusión de directorios y extensiones específicas del cifrado para mantener la estabilidad del sistema.»] class action_hide_artifacts action %% Flow connections action_valid_accounts u002du002d>|conduce a| action_rdp action_rdp u002du002d>|habilita| malware_web_shell malware_web_shell u002du002d>|proporciona| action_c2_comm action_c2_comm u002du002d>|utiliza| tool_powershell tool_powershell u002du002d>|ejecuta| action_auto_collection action_auto_collection u002du002d>|alimenta| tool_7zip tool_7zip u002du002d>|produce archivo para| action_exfil_cloud action_exfil_cloud u002du002d>|completa| action_gather_info action_gather_info u002du002d>|precede| action_service_stop action_service_stop u002du002d>|habilita| action_exclusive_control action_exclusive_control u002du002d>|conduce a| action_inhibit_recovery action_inhibit_recovery u002du002d>|ajusta el escenario para| action_obfuscation action_obfuscation u002du002d>|precede| action_data_encryption action_data_encryption u002du002d>|acompañado de| action_hide_artifacts %% Styling class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware
Flujo de Ataque
Detecciones
Detección del Uso de RDP para Movimiento Lateral a través de Credenciales Comprometidas [Conexión de Red de Windows]
Ver
Detección de Comandos Anti-Recuperación usados por el Ransomware Avaddon [Creación de Procesos de Windows]
Ver
Detección de Shells Web BLACKCROW y DARKRAVEN o SystemBC RAT [Creación de Procesos de Windows]
Ver
IOCs (Emails) para detectar: Análisis del Ransomware Avaddon de Riddle Spider y Resumen Técnico
Ver
Actividad Sospechosa de la Herramienta Wbadmin (mediante cmdline)
Ver
Simulaciones
Resumen Ejecutivo
ID del Caso de Prueba: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
Resumen de la Lógica de la Regla de Detección: Detecta cualquier correo cuyo asunto contenga la palabra “load” y cuyo cuerpo incluya las cadenas “.exe” y “.msi”, indicando un enlace de descarga malicioso.
Lenguaje/Formato de la Regla de Detección: sigma
Entorno de Seguridad Objetivo: Windows OS – registros de conexión de red (por ejemplo, Firewall de Windows, proxy, registros de DNS) – plataforma SIEM que consume reglas Sigma (por ejemplo, Splunk, Elastic, Azure Sentinel)
Puntuación de Resiliencia (1-5): 2
Justificación: La regla se basa en…
Ver Simulaciones Completas