Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Avaddon è un’operazione Ransomware-as-a-Service (RaaS) gestita dal gruppo criminale Riddle Spider. Il malware basato su C++ cripta i dati locali e accessibili in rete, rimuove le copie shadow e utilizza un modello di doppia estorsione minacciando di divulgare le informazioni esfiltrate. Viene distribuito tramite credenziali rubate, servizi RDP esposti e web shell personalizzate, utilizzando ampiamente molteplici tecniche anti-analisi.
Analisi del Ransomware Avaddon
L’analisi dettaglia la base di codice di Avaddon, come memorizza la sua configurazione, esegue controlli geografici, interrompe i servizi, termina i processi ed esegue la crittografia utilizzando AES-256 con chiavi uniche per file. Inoltre enumera i servizi e i processi selezionati per la terminazione e i comandi specifici utilizzati per disabilitare i meccanismi di ripristino.
Mitigazione
I difensori dovrebbero imporre un’igiene robusta delle credenziali, limitare o rafforzare l’esposizione RDP, monitorare i modelli noti di web shell e rilevare l’esecuzione di comandi di rimozione delle copie shadow. Whitelisting delle applicazioni e mantenere backup regolari offline può ridurre significativamente l’impatto del ransomware.
Risposta
Quando viene rilevata un’attività di Avaddon, isolare il sistema compromesso, catturare prove volatili, bloccare il comportamento associato alla riga di comando e avviare una risposta agli incidenti con imaging forense completo. Recuperare i dati da backup offline affidabili e considerare di coinvolgere le forze dell’ordine a causa delle tattiche di doppia estorsione.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes action_valid_accounts[“<b>Azione</b> – <b>T1078 Account Validi</b><br/>L’avversario utilizza credenziali rubate o indovinate per ottenere l’accesso iniziale, spesso tramite credenziali RDP compromesse.”] class action_valid_accounts action action_rdp[“<b>Azione</b> – <b>T1021.001 Servizi Remoti: Remote Desktop Protocol</b><br/>Uso di RDP per il movimento laterale e l’esecuzione remota di comandi dopo aver ottenuto credenziali valide.”] class action_rdp action malware_web_shell[“<b>Malware</b> – <b>T1505.003 Componente Software del Server: Web Shell</b><br/>Distribuzione di web shell personalizzate (ad es. BLACKCROW, DARKRAVEN) per mantenere accesso persistente ed eseguire comandi sui server compromessi.”] class malware_web_shell malware action_c2_comm[“<b>Azione</b> – <b>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br/>Le web shell forniscono un canale di comando e controllo bidirezionale.”] class action_c2_comm action tool_powershell[“<b>Strumento</b> – <b>T1059.001 Interprete di Comandi e Script: PowerShell</b><br/>Esecuzione di script PowerShell tramite framework di post‑exploitation come Empire o PowerSploit.”] class tool_powershell tool action_auto_collection[“<b>Azione</b> – <b>T1119 Raccolta Automatizzata</b><br/>Raccolta automatizzata di file e dati prima dell’esfiltrazione.”] class action_auto_collection action tool_7zip[“<b>Strumento</b> – <b>T1560.001 Archiviazione dei Dati Raccolti: Archiviazione tramite Utility</b><br/>Compressione dei dati raccolti utilizzando 7Zip.”] class tool_7zip tool action_exfil_cloud[“<b>Azione</b> – <b>T1567.002 Esfiltrazione tramite Servizio Web: Esfiltrazione verso Archiviazione Cloud</b><br/>Caricamento dei dati archiviati su servizi cloud come MEGAsync.”] class action_exfil_cloud action action_gather_info[“<b>Azione</b> – <b>T1592 Raccolta di Informazioni sull’Host</b><br/>Raccolta di dettagli hardware, software, firmware e configurazione del client per la preparazione della nota di riscatto.”] class action_gather_info action action_service_stop[“<b>Azione</b> – <b>T1489 Arresto dei Servizi</b><br/>Arresto ed eliminazione di servizi e processi legati alla sicurezza per evitare interferenze durante la cifratura.”] class action_service_stop action action_exclusive_control[“<b>Azione</b> – <b>T1668 Controllo Esclusivo</b><br/>Ottenimento del controllo esclusivo per eliminare le copie shadow e impedire il recupero.”] class action_exclusive_control action action_inhibit_recovery[“<b>Azione</b> – <b>T1490 Inibizione del Ripristino del Sistema</b><br/>Disabilitazione dei meccanismi di ripristino (vssadmin, wbadmin, bcdedit) ed eliminazione delle copie shadow.”] class action_inhibit_recovery action action_obfuscation[“<b>Azione</b> – <b>T1027 File o Informazioni Offuscati</b><br/>Le stringhe di configurazione sono codificate in Base64 e ulteriormente offuscate tramite operazioni aritmetiche.”] class action_obfuscation action action_data_encryption[“<b>Azione</b> – <b>T1486 Dati Cifrati per Impatto</b><br/>Cifratura dei file della vittima con AES‑256, utilizzando chiavi per file ed escludendo directory di sistema critiche.”] class action_data_encryption action action_hide_artifacts[“<b>Azione</b> – <b>T1564.012 Nascondere Artefatti: Esclusioni di File/Percorso</b><br/>Esclusione di directory ed estensioni specifiche dalla cifratura per mantenere la stabilità del sistema.”] class action_hide_artifacts action %% Flow connections action_valid_accounts u002du002d>|porta a| action_rdp action_rdp u002du002d>|abilita| malware_web_shell malware_web_shell u002du002d>|fornisce| action_c2_comm action_c2_comm u002du002d>|utilizza| tool_powershell tool_powershell u002du002d>|esegue| action_auto_collection action_auto_collection u002du002d>|alimenta| tool_7zip tool_7zip u002du002d>|produce l’archivio per| action_exfil_cloud action_exfil_cloud u002du002d>|completa| action_gather_info action_gather_info u002du002d>|precede| action_service_stop action_service_stop u002du002d>|abilita| action_exclusive_control action_exclusive_control u002du002d>|porta a| action_inhibit_recovery action_inhibit_recovery u002du002d>|prepara il terreno per| action_obfuscation action_obfuscation u002du002d>|precede| action_data_encryption action_data_encryption u002du002d>|accompagnata da| action_hide_artifacts %% Styling class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware
Flusso dell’attacco
Rilevamenti
Rilevamento dell’utilizzo di RDP per movimento laterale tramite credenziali compromesse [Connessione di rete di Windows]
Visualizza
Rilevamento di comandi anti-recupero usati da Avaddon Ransomware [Creazione processi di Windows]
Visualizza
Rilevamento di web shell BLACKCROW e DARKRAVEN o SystemBC RAT [Creazione processi di Windows]
Visualizza
IOC (Email) da rilevare: Analisi e panoramica tecnica del ransomware Avaddon di Riddle Spider
Visualizza
Attività sospetta dello strumento Wbadmin (via cmdline)
Visualizza
Simulazioni
Sintesi esecutiva
ID Caso di Test: TC-20251104-A7B9Z
TTP: T1219, T1566.001
Sintesi della logica della regola di rilevamento: Rileva qualsiasi email il cui oggetto contenga la parola “load” e il cui corpo includa sia le stringhe “.exe” che “.msi”, indicando un link di download malevolo.
Lingua/Formato della regola di rilevamento: sigma
Ambiente di sicurezza mirato: Windows OS – registri di connessione di rete (ad es., Windows Firewall, proxy, registri DNS) – piattaforma SIEM che utilizza le regole Sigma (ad esempio, Splunk, Elastic, Azure Sentinel)
Punteggio di resilienza (1-5): 2
Giustificazione: La regola si basa su…
Visualizza tutte le simulazioni