Ein Neuling in der Ransomware-Szene, Avaddon Ransomware, wird seit Anfang des Monats aktiv in Spam-Kampagnen verbreitet, und die Angreifer dahinter rekrutieren weiterhin Partner in Untergrundforen. Während einer der erkannten Kampagnen, versandten Cyberkriminelle über 300.000 bösartige E-Mails mit dem Phorphiex/Trik Botnet. Derzeit zielt Avaddon eher auf einzelne Nutzer als auf Organisationen ab, und die Zeit wird zeigen, wie sich diese Malware entwickeln wird. Außerdem gibt es bislang keine Fälle, in denen Angreifer Daten stehlen, bevor sie Dateien verschlüsseln, wie es die fortschrittlicheren Gruppen tun, die Maze -Ransomware, DoppelPaymer, Ragnar Lockerund einige andere verbreiten.
Cyberkriminelle versenden bösartige E-Mails, die im Textkörper der E-Mail nur ein Zwinkersmiley enthalten, und einen als JPG-Foto getarnten JavaScript-Dateianhang. Um zu verhindern, dass ein unaufmerksamer Benutzer Verdacht schöpft, verwenden die Angreifer Doppelendungen (mehr über diese Methode und wie man Versuche, sie auszunutzen, erkennt, erfahren Sie hier and hier). Der bösartige Anhang startet sowohl einen PowerShell- als auch einen Bitsadmin-Befehl, die das Avaddon-Ransomware-Programm herunterladen und ausführen. Diese Kampagne erinnert an die ‚Love Letter‘-Spam , die im Februar Nemty Ransomware verteilte, vielleicht ist es derselbe Bedrohungsakteur, der frühere Fehler korrigiert hat und Doppelendungen in bösartigen Dateien einzusetzen begann.
Von Osman Demir eingereichte Bedrohungssuche-Regel ermöglicht Sicherheitslösungen, Avaddon-Ransomware während ihrer Installation und in den ersten Schritten des Angriffs zu entdecken: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Auswirkung
Techniken: Daten verschlüsselt für Auswirkung (T1486)
