Contenido de Caza de Amenazas: Detección de Ransomware Avaddon

Un recién llegado a la escena del ransomware, Avaddon Ransomware ha sido activamente difundido en campañas de spam desde principios de mes, y los atacantes detrás de él continúan reclutando afiliados en foros clandestinos. Durante una de las campañas, los cibercriminales enviaron más de 300,000 correos electrónicos maliciosos utilizando Phorphiex/Trik Botnet. Actualmente, Avaddon está dirigido más a usuarios individuales que a organizaciones, y el tiempo dirá cómo evolucionará este malware. Además, hasta que no haya casos en los que los atacantes roben datos antes de cifrar archivos, como hacen los grupos más avanzados que distribuyen Maze ransomware, DoppelPaymer, Ragnar Locker, y algunos otros.

Los cibercriminales envían correos electrónicos maliciosos que solo contienen un emoji de guiño en el cuerpo del correo y un archivo JavaScript que se hace pasar por una foto JPG adjunta. Para evitar que un usuario desatento sospeche algo, los atacantes usan doble extensión (puedes leer más sobre este método y cómo detectar intentos de explotarlo aquí and aquí). El adjunto malicioso lanza tanto un comando PowerShell como Bitsadmin que descargan el ejecutable del ransomware Avaddon y lo ejecutan. Esta campaña recuerda al spam de ‘Love Letter’ que distribuyó el ransomware Nemty este febrero, quizá sea el mismo actor de amenazas que corrigió errores anteriores y comenzó a usar extensiones dobles en archivos maliciosos.

Una regla de búsqueda de amenazas presentada por Osman Demir permite que las soluciones de seguridad descubran el ransomware Avaddon durante su instalación y los primeros pasos del ataque: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Impacto

Técnicas: Datos cifrados para impacto (T1486)