Contenu de Chasse aux Menaces : Détection du Ransomware Avaddon

Alla Yurchenko Responsable du Programme Bounty de Menaces

Add to my AI research

Un nouvel entrant sur la scène des logiciels de rançon, Avaddon Ransomware est activement diffusé dans des campagnes de spam depuis le début du mois, et les attaquants derrière continuent de recruter des affiliés dans les forums clandestins. Lors de l’une des campagnes détectées campagnes, les cybercriminels ont envoyé plus de 300 000 e-mails malveillants en utilisant Phorphiex/Trik Botnet. Actuellement, Avaddon cible plus les utilisateurs individuels que les organisations, et seul le temps dira comment cette variante de logiciel malveillant évoluera. Aussi, tant qu’il n’y a pas de cas où les attaquants volent des données avant de chiffrer les fichiers, comme le font les groupes plus avancés distribuant Maze ransomware, DoppelPaymer, Ragnar Locker, et d’autres encore.

Les cybercriminels envoient des e-mails malveillants ne contenant qu’un emoji clin d’œil dans le corps de l’e-mail et un fichier JavaScript déguisé en photo JPG en pièce jointe. Pour empêcher un utilisateur inattentif de se douter de quelque chose, les attaquants utilisent des doubles extensions (vous pouvez en lire plus sur cette méthode et la détection des tentatives d’exploitation ici and ici). La pièce jointe malveillante lance à la fois une commande PowerShell et Bitsadmin qui téléchargent l’exécutable du rançongiciel Avaddon et l’exécutent. Cette campagne rappelle le spam ‘Love Letter’ qui avait distribué le rançongiciel Nemty en février dernier, peut-être s’agit-il du même acteur menaçant qui a corrigé les erreurs précédentes et a commencé à utiliser des doubles extensions dans les fichiers malveillants.

Règle de chasse aux menaces soumise par Osman Demir permet aux solutions de sécurité de découvrir le rançongiciel Avaddon lors de son installation et des premières étapes de l’attaque : https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact

Techniques : Données chiffrées pour impact (T1486)

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

CVE-2026-41940 : Vulnérabilité critique de contournement d’authentification de cPanel & WHM expose les serveurs d’hébergement au risque de prise de contrôle par un administrateur

Avr 30/2026 7 min de lecture Dernières Menaces CVE-2026-41940 : Vulnérabilité critique de contournement d’authentification de cPanel & WHM expose les serveurs d’hébergement au risque de prise de contrôle par un administrateur by SOC Prime Team

Détection d’attaque UAC-0247 : Le logiciel malveillant AGINGFLY cible les hôpitaux, les gouvernements locaux et les opérateurs FPV en Ukraine

Avr 16/2026 5 min de lecture Dernières Menaces Détection d’attaque UAC-0247 : Le logiciel malveillant AGINGFLY cible les hôpitaux, les gouvernements locaux et les opérateurs FPV en Ukraine by SOC Prime Team

Détection de l’attaque UAC-0255 : des acteurs malveillants usurpent l’identité de CERT-UA pour infecter des organisations ukrainiennes des secteurs public et privé avec le RAT AGEWHEEZE

Avr 1/2026 6 min de lecture Dernières Menaces Détection de l’attaque UAC-0255 : des acteurs malveillants usurpent l’identité de CERT-UA pour infecter des organisations ukrainiennes des secteurs public et privé avec le RAT AGEWHEEZE by Daryna Olyniychuk