Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Avaddon é uma operação de Ransomware como Serviço (RaaS) conduzida pelo grupo criminoso Riddle Spider. O malware baseado em C++ criptografa dados locais e acessíveis em rede, remove cópias sombra e utiliza um modelo de dupla extorsão ao ameaçar vazar informações exfiltradas. Ele é implantado via credenciais roubadas, serviços RDP expostos e web shells personalizados, e utiliza amplamente múltiplas técnicas de anti-análise.
Análise do Ransomware Avaddon
A análise detalha a base de código do Avaddon, como ele armazena sua configuração, realiza verificações geográficas, interrompe serviços, termina processos e realiza criptografia usando AES-256 com chaves únicas por arquivo. Também enumera os serviços e processos selecionados para término e os comandos específicos usados para desativar mecanismos de recuperação.
Mitigação
Os defensores devem impor uma higiene robusta de credenciais, limitar ou fortalecer a exposição de RDP, monitorar padrões conhecidos de web shell e detectar a execução de comandos de remoção de cópias sombra. A lista branca de aplicações e a manutenção de backups regulares e offline podem reduzir significativamente o impacto do ransomware.
Resposta
Quando a atividade do Avaddon é detectada, isole o sistema comprometido, capture evidências voláteis, bloqueie comportamentos associados na linha de comando e inicie a resposta a incidentes com imagem forense completa. Recupere dados de backups offline de confiança e considere envolver a aplicação da lei devido às táticas de dupla extorsão.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes action_valid_accounts[“<b>Ação</b> – <b>T1078 Contas Válidas</b><br/>O adversário usa credenciais roubadas ou adivinhadas para obter acesso inicial, frequentemente por meio de credenciais RDP comprometidas.”] class action_valid_accounts action action_rdp[“<b>Ação</b> – <b>T1021.001 Serviços Remotos: Protocolo de Área de Trabalho Remota</b><br/>Uso de RDP para movimento lateral e execução remota de comandos após a obtenção de credenciais válidas.”] class action_rdp action malware_web_shell[“<b>Malware</b> – <b>T1505.003 Componente de Software de Servidor: Web Shell</b><br/>Implantação de web shells personalizados (por exemplo, BLACKCROW, DARKRAVEN) para manter acesso persistente e executar comandos em servidores comprometidos.”] class malware_web_shell malware action_c2_comm[“<b>Ação</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/>Web shells fornecem um canal de comunicação bidirecional de comando e controle.”] class action_c2_comm action tool_powershell[“<b>Ferramenta</b> – <b>T1059.001 Interpretador de Comandos e Scripts: PowerShell</b><br/>Execução de scripts PowerShell por meio de frameworks de pós-exploração como Empire ou PowerSploit.”] class tool_powershell tool action_auto_collection[“<b>Ação</b> – <b>T1119 Coleta Automatizada</b><br/>Coleta automatizada de arquivos e dados antes da exfiltração.”] class action_auto_collection action tool_7zip[“<b>Ferramenta</b> – <b>T1560.001 Arquivar Dados Coletados: Arquivamento via Utilitário</b><br/>Compressão dos dados coletados usando 7Zip.”] class tool_7zip tool action_exfil_cloud[“<b>Ação</b> – <b>T1567.002 Exfiltração por Serviço Web: Exfiltração para Armazenamento em Nuvem</b><br/>Envio dos dados arquivados para serviços em nuvem como MEGAsync.”] class action_exfil_cloud action action_gather_info[“<b>Ação</b> – <b>T1592 Coleta de Informações do Host</b><br/>Coleta de detalhes de hardware, software, firmware e configuração do cliente para preparação da nota de resgate.”] class action_gather_info action action_service_stop[“<b>Ação</b> – <b>T1489 Parada de Serviço</b><br/>Interrupção e exclusão de serviços e processos relacionados à segurança para evitar interferência durante a criptografia.”] class action_service_stop action action_exclusive_control[“<b>Ação</b> – <b>T1668 Controle Exclusivo</b><br/>Obtenção de controle exclusivo para excluir cópias de sombra e impedir a recuperação.”] class action_exclusive_control action action_inhibit_recovery[“<b>Ação</b> – <b>T1490 Inibir Recuperação do Sistema</b><br/>Desativação de mecanismos de recuperação (vssadmin, wbadmin, bcdedit) e exclusão de cópias de sombra.”] class action_inhibit_recovery action action_obfuscation[“<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscados</b><br/>Strings de configuração são codificadas em Base64 e posteriormente ofuscadas com operações aritméticas.”] class action_obfuscation action action_data_encryption[“<b>Ação</b> – <b>T1486 Dados Criptografados para Impacto</b><br/>Criptografia dos arquivos da vítima com AES-256, usando chaves por arquivo e excluindo diretórios críticos do sistema.”] class action_data_encryption action action_hide_artifacts[“<b>Ação</b> – <b>T1564.012 Ocultar Artefatos: Exclusões de Arquivo/Caminho</b><br/>Exclusão de diretórios e extensões específicas da criptografia para manter a estabilidade do sistema.”] class action_hide_artifacts action %% Flow connections action_valid_accounts u002du002d>|leva a| action_rdp action_rdp u002du002d>|permite| malware_web_shell malware_web_shell u002du002d>|fornece| action_c2_comm action_c2_comm u002du002d>|usa| tool_powershell tool_powershell u002du002d>|executa| action_auto_collection action_auto_collection u002du002d>|alimenta| tool_7zip tool_7zip u002du002d>|produz arquivo para| action_exfil_cloud action_exfil_cloud u002du002d>|conclui| action_gather_info action_gather_info u002du002d>|precede| action_service_stop action_service_stop u002du002d>|permite| action_exclusive_control action_exclusive_control u002du002d>|leva a| action_inhibit_recovery action_inhibit_recovery u002du002d>|prepara o cenário para| action_obfuscation action_obfuscation u002du002d>|precede| action_data_encryption action_data_encryption u002du002d>|acompanhado por| action_hide_artifacts %% Styling class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware
Fluxo de Ataque
Detecções
Detecção de Uso de RDP para Movimento Lateral via Credenciais Comprometidas [Conexão de Rede do Windows]
Ver
Detecção de Comandos Anti-Recuperação Usados pelo Ransomware Avaddon [Criação de Processo do Windows]
Ver
Detecção de Web Shells BLACKCROW e DARKRAVEN ou RAT SystemBC [Criação de Processo do Windows]
Ver
IOCs (Emails) para detectar: Análise e Visão Geral Técnica do Ransomware Avaddon do Riddle Spider
Ver
Atividade Suspeita da Ferramenta Wbadmin (via linha de comando)
Ver
Simulações
Sumário Executivo
ID do Caso de Teste: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
Resumo da Lógica da Regra de Detecção: Detecta qualquer email cujo assunto contenha a palavra “load” e cujo corpo inclua as strings “.exe” e “.msi”, indicando um link de download malicioso.
Linguagem/Formato da Regra de Detecção: sigma
Ambiente de Segurança Alvo: Windows OS – logs de conexão de rede (por exemplo, Windows Firewall, proxy, logs DNS) – plataforma SIEM que consome regras Sigma (por exemplo, Splunk, Elastic, Azure Sentinel)
Pontuação de Resiliência (1-5): 2
Justificativa: A regra se baseia em…
Ver Simulações Completas