Un nuovo arrivato sulla scena del Ransomware, Avaddon Ransomware è stato attivamente diffuso in campagne di spam dall’inizio del mese, e gli attaccanti dietro di esso continuano a reclutare affiliati nei forum underground. Durante una delle campagne rilevate è stata inviata una serie di, i criminali informatici hanno inviato oltre 300.000 email dannose utilizzando Phorphiex/Trik Botnet. Attualmente, Avaddon è più mirato agli utenti individuali piuttosto che alle organizzazioni, e il tempo ci dirà come si evolverà questo malware. Inoltre, finché non ci saranno casi in cui gli attaccanti rubano dati prima di criptare i file, come fanno i gruppi più avanzati che distribuiscono Maze ransomware, DoppelPaymer, Ragnar Locker, e alcuni altri.
I criminali informatici inviano email dannose contenenti solo un’emoji di occhiolino nel corpo dell’email e un file JavaScript che si maschera da foto JPG allegata. Per evitare che un utente distratto sospetti qualcosa, gli attaccanti usano estensioni doppie (puoi leggere di più su questo metodo e sulle rilevazioni dei tentativi di sfruttarlo qui and qui). L’allegato dannoso avvia entrambi un comando PowerShell e Bitsadmin che scaricano l’eseguibile del ransomware Avaddon e lo eseguono. Questa campagna ricorda la campagna di spam ‘Love Letter’ che aveva distribuito il ransomware Nemty questo febbraio, forse è lo stesso cybercriminale che ha corretto gli errori precedenti e ha iniziato a usare estensioni doppie nei file dannosi.
La regola di Threat hunting inviata da Osman Demir consente alle soluzioni di sicurezza di individuare il ransomware Avaddon durante la sua installazione e i primi passi dell’attacco: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Impatto
Tecniche: Dati criptati per Impatto (T1486)
