Análise e Visão Técnica do Ransomware Riddle Spider Avaddon
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Avaddon é uma operação de Ransomware como Serviço (RaaS) conduzida pelo grupo criminoso Riddle Spider. O malware baseado em C++ criptografa dados locais e acessíveis em rede, remove cópias sombra e utiliza um modelo de dupla extorsão ao ameaçar vazar informações exfiltradas. Ele é implantado via credenciais roubadas, serviços RDP expostos e web shells personalizados, e utiliza amplamente múltiplas técnicas de anti-análise.
Análise do Ransomware Avaddon
A análise detalha a base de código do Avaddon, como ele armazena sua configuração, realiza verificações geográficas, interrompe serviços, termina processos e realiza criptografia usando AES-256 com chaves únicas por arquivo. Também enumera os serviços e processos selecionados para término e os comandos específicos usados para desativar mecanismos de recuperação.
Mitigação
Os defensores devem impor uma higiene robusta de credenciais, limitar ou fortalecer a exposição de RDP, monitorar padrões conhecidos de web shell e detectar a execução de comandos de remoção de cópias sombra. A lista branca de aplicações e a manutenção de backups regulares e offline podem reduzir significativamente o impacto do ransomware.
Resposta
Quando a atividade do Avaddon é detectada, isole o sistema comprometido, capture evidências voláteis, bloqueie comportamentos associados na linha de comando e inicie a resposta a incidentes com imagem forense completa. Recupere dados de backups offline de confiança e considere envolver a aplicação da lei devido às táticas de dupla extorsão.
Fluxo de Ataque
Detecções
Detecção de Uso de RDP para Movimento Lateral via Credenciais Comprometidas [Conexão de Rede do Windows]
Ver
Detecção de Comandos Anti-Recuperação Usados pelo Ransomware Avaddon [Criação de Processo do Windows]
Ver
Detecção de Web Shells BLACKCROW e DARKRAVEN ou RAT SystemBC [Criação de Processo do Windows]
Ver
IOCs (Emails) para detectar: Análise e Visão Geral Técnica do Ransomware Avaddon do Riddle Spider
Ver
Atividade Suspeita da Ferramenta Wbadmin (via linha de comando)
Ver
Simulações
Sumário Executivo
ID do Caso de Teste: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
Resumo da Lógica da Regra de Detecção: Detecta qualquer email cujo assunto contenha a palavra “load” e cujo corpo inclua as strings “.exe” e “.msi”, indicando um link de download malicioso.
Linguagem/Formato da Regra de Detecção: sigma
Ambiente de Segurança Alvo: Windows OS – logs de conexão de rede (por exemplo, Windows Firewall, proxy, logs DNS) – plataforma SIEM que consome regras Sigma (por exemplo, Splunk, Elastic, Azure Sentinel)
Pontuação de Resiliência (1-5): 2
Justificativa: A regra se baseia em…
Ver Simulações Completas