SOC Prime Bias: Alto

03 Dec 2025 17:12 UTC

Analisi e Panoramica Tecnica del Ransomware Avaddon

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Analisi e Panoramica Tecnica del Ransomware Avaddon
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Avaddon è un’operazione Ransomware-as-a-Service (RaaS) gestita dal gruppo criminale Riddle Spider. Il malware basato su C++ cripta i dati locali e accessibili in rete, rimuove le copie shadow e utilizza un modello di doppia estorsione minacciando di divulgare le informazioni esfiltrate. Viene distribuito tramite credenziali rubate, servizi RDP esposti e web shell personalizzate, utilizzando ampiamente molteplici tecniche anti-analisi.

Analisi del Ransomware Avaddon

L’analisi dettaglia la base di codice di Avaddon, come memorizza la sua configurazione, esegue controlli geografici, interrompe i servizi, termina i processi ed esegue la crittografia utilizzando AES-256 con chiavi uniche per file. Inoltre enumera i servizi e i processi selezionati per la terminazione e i comandi specifici utilizzati per disabilitare i meccanismi di ripristino.

Mitigazione

I difensori dovrebbero imporre un’igiene robusta delle credenziali, limitare o rafforzare l’esposizione RDP, monitorare i modelli noti di web shell e rilevare l’esecuzione di comandi di rimozione delle copie shadow. Whitelisting delle applicazioni e mantenere backup regolari offline può ridurre significativamente l’impatto del ransomware.

Risposta

Quando viene rilevata un’attività di Avaddon, isolare il sistema compromesso, catturare prove volatili, bloccare il comportamento associato alla riga di comando e avviare una risposta agli incidenti con imaging forense completo. Recuperare i dati da backup offline affidabili e considerare di coinvolgere le forze dell’ordine a causa delle tattiche di doppia estorsione.

Flusso dell’attacco

Simulazioni

Sintesi esecutiva

ID Caso di Test: TC-20251104-A7B9Z
TTP: T1219, T1566.001
Sintesi della logica della regola di rilevamento: Rileva qualsiasi email il cui oggetto contenga la parola “load” e il cui corpo includa sia le stringhe “.exe” che “.msi”, indicando un link di download malevolo.
Lingua/Formato della regola di rilevamento: sigma
Ambiente di sicurezza mirato: Windows OS – registri di connessione di rete (ad es., Windows Firewall, proxy, registri DNS) – piattaforma SIEM che utilizza le regole Sigma (ad esempio, Splunk, Elastic, Azure Sentinel)
Punteggio di resilienza (1-5): 2
Giustificazione: La regola si basa su…
Visualizza tutte le simulazioni