Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Avaddon est une opération de rançongiciel en tant que service (RaaS) dirigée par le groupe criminel Riddle Spider. Le malware basé sur C++ chiffre les données locales et accessibles sur le réseau, supprime les copies de sauvegarde et utilise un modèle de double extorsion en menaçant de divulguer les informations exfiltrées. Il est déployé via des informations d’identification volées, des services RDP exposés et des shells web personnalisés, et utilise largement de multiples techniques d’anti-analyse.
Analyse du Rançongiciel Avaddon
L’analyse détaille la base de code d’Avaddon, comment il stocke sa configuration, effectue des vérifications géographiques, arrête des services, termine des processus, et effectue le chiffrement en utilisant AES-256 avec des clés uniques par fichier. Il énumère également les services et les processus sélectionnés pour être terminés et les commandes spécifiques utilisées pour désactiver les mécanismes de récupération.
Atténuation
Les défenseurs devraient appliquer une hygiène rigoureuse des informations d’identification, limiter ou renforcer l’exposition RDP, surveiller les modèles connus de shells web, et détecter l’exécution des commandes de suppression de copie de sauvegarde. Le blanchiment des applications et le maintien de sauvegardes régulières hors ligne peuvent réduire considérablement l’impact du rançongiciel.
Réponse
Lorsqu’une activité d’Avaddon est détectée, isolez le système compromis, capturez les preuves volatiles, bloquez le comportement associé des lignes de commande, et initiez une réponse à l’incident avec une image judiciaire complète. Récupérez les données à partir de sauvegardes fiables hors ligne et envisagez de faire appel aux forces de l’ordre en raison des tactiques de double extorsion.
mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes action_valid_accounts[« <b>Action</b> – <b>T1078 Comptes Valides</b><br />L’adversaire utilise des informations d’identification volées ou devinées pour obtenir un accès initial, souvent via des informations d’identification RDP compromises. »] class action_valid_accounts action action_rdp[« <b>Action</b> – <b>T1021.001 Services à Distance : Protocole de Bureau à Distance</b><br />Utilisation de RDP pour le mouvement latéral et l’exécution de commandes à distance après obtention des informations d’identification valides. »] class action_rdp action malware_web_shell[« <b>Malware</b> – <b>T1505.003 Composant Logiciel Serveur : Shell Web</b><br />Déploiement de shells web personnalisés (par ex., BLACKCROW, DARKRAVEN) pour maintenir un accès persistant et exécuter des commandes sur des serveurs compromis. »] class malware_web_shell malware action_c2_comm[« <b>Action</b> – <b>T1102.002 Service Web : Communication Bidirectionnelle</b><br />Les shells web fournissent un canal de communication de commande et de contrôle bidirectionnel. »] class action_c2_comm action tool_powershell[« <b>Outil</b> – <b>T1059.001 Interpréteur de Commandes et Scripts : PowerShell</b><br />Exécution de scripts PowerShell via des frameworks post-exploitation tels que Empire ou PowerSploit. »] class tool_powershell tool action_auto_collection[« <b>Action</b> – <b>T1119 Collection Automatisée</b><br />Collecte automatique de fichiers et de données avant exfiltration. »] class action_auto_collection action tool_7zip[« <b>Outil</b> – <b>T1560.001 Collecte de Données Archivées : Archivage via Utilitaire</b><br />Compression des données récoltées à l’aide de 7Zip. »] class tool_7zip tool action_exfil_cloud[« <b>Action</b> – <b>T1567.002 Exfiltration par Service Web : Exfiltration vers Stockage Cloud</b><br />Téléversement de données archivées vers des services cloud tels que MEGAsync. »] class action_exfil_cloud action action_gather_info[« <b>Action</b> – <b>T1592 Collecte d’Informations sur l’Hôte</b><br />Collecte des détails de configuration du matériel, du logiciel, du microprogramme et du client pour la préparation de la note de rançon. »] class action_gather_info action action_service_stop[« <b>Action</b> – <b>T1489 Arrêt de Service</b><br />Arrêt et suppression des services et processus liés à la sécurité pour éviter les interférences pendant le chiffrement. »] class action_service_stop action action_exclusive_control[« <b>Action</b> – <b>T1668 Contrôle Exclusif</b><br />Obtention d’un contrôle exclusif pour supprimer les copies de sauvegarde et empêcher la récupération. »] class action_exclusive_control action action_inhibit_recovery[« <b>Action</b> – <b>T1490 Inhibition de la Récupération du Système</b><br />Désactivation des mécanismes de récupération (vssadmin, wbadmin, bcdedit) et suppression des copies de sauvegarde. »] class action_inhibit_recovery action action_obfuscation[« <b>Action</b> – <b>T1027 Fichiers ou Informations Camouflés</b><br />Les chaînes de configuration sont encodées en Base64 et davantage camouflées avec des opérations arithmétiques. »] class action_obfuscation action action_data_encryption[« <b>Action</b> – <b>T1486 Chiffrement des Données pour Impact</b><br />Chiffrement des fichiers de la victime avec AES‑256, en utilisant des clés par fichier et en excluant les répertoires critiques du système. »] class action_data_encryption action action_hide_artifacts[« <b>Action</b> – <b>T1564.012 Cacher les Artéfacts : Exclusions de Fichiers/Chemins</b><br />Exclusion de répertoires et extensions spécifiques du chiffrement pour maintenir la stabilité du système. »] class action_hide_artifacts action %% Flow connections action_valid_accounts u002du002d>|leads to| action_rdp action_rdp u002du002d>|enables| malware_web_shell malware_web_shell u002du002d>|provides| action_c2_comm action_c2_comm u002du002d>|uses| tool_powershell tool_powershell u002du002d>|executes| action_auto_collection action_auto_collection u002du002d>|feeds| tool_7zip tool_7zip u002du002d>|produces archive for| action_exfil_cloud action_exfil_cloud u002du002d>|completes| action_gather_info action_gather_info u002du002d>|precedes| action_service_stop action_service_stop u002du002d>|enables| action_exclusive_control action_exclusive_control u002du002d>|leads to| action_inhibit_recovery action_inhibit_recovery u002du002d>|sets stage for| action_obfuscation action_obfuscation u002du002d>|precedes| action_data_encryption action_data_encryption u002du002d>|accompanied by| action_hide_artifacts %% Styling class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware
Flux d’attaque
Détections
Détection de l’utilisation de RDP pour le mouvement latéral via des informations d’identification compromises [Connexion réseau Windows]
Voir
Détection des commandes anti-récupération utilisées par le rançongiciel Avaddon [Création de processus Windows]
Voir
Détection des shells web BLACKCROW et DARKRAVEN ou de SystemBC RAT [Création de processus Windows]
Voir
IOCs (Emails) à détecter : Analyse et aperçu technique du rançongiciel Avaddon de Riddle Spider
Voir
Activité suspecte de l’outil Wbadmin (via cmdline)
Voir
Simulations
Résumé exécutif
ID du Cas de Test : TC-20251104-A7B9Z
TTPs : T1219, T1566.001
Résumé de la logique de la règle de détection : Détecte tout e-mail dont le sujet contient le mot “load” et dont le corps inclut à la fois les chaînes “.exe” et “.msi”, indiquant un lien de téléchargement malveillant.
Langage/Format de la règle de détection : sigma
Environnement de sécurité cible : Windows OS – journaux de connexion réseau (par exemple, Windows Firewall, proxy, journaux DNS) – plateforme SIEM qui consomme des règles Sigma (par exemple, Splunk, Elastic, Azure Sentinel)
Score de résilience (1-5) : 2
Justification : La règle repose sur…
Voir les Simulations Complètes