SOC Prime Bias: Alto

03 Dec 2025 17:12 UTC

Análise e Visão Técnica do Ransomware Riddle Spider Avaddon

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Análise e Visão Técnica do Ransomware Riddle Spider Avaddon
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Avaddon é uma operação de Ransomware como Serviço (RaaS) conduzida pelo grupo criminoso Riddle Spider. O malware baseado em C++ criptografa dados locais e acessíveis em rede, remove cópias sombra e utiliza um modelo de dupla extorsão ao ameaçar vazar informações exfiltradas. Ele é implantado via credenciais roubadas, serviços RDP expostos e web shells personalizados, e utiliza amplamente múltiplas técnicas de anti-análise.

Análise do Ransomware Avaddon

A análise detalha a base de código do Avaddon, como ele armazena sua configuração, realiza verificações geográficas, interrompe serviços, termina processos e realiza criptografia usando AES-256 com chaves únicas por arquivo. Também enumera os serviços e processos selecionados para término e os comandos específicos usados para desativar mecanismos de recuperação.

Mitigação

Os defensores devem impor uma higiene robusta de credenciais, limitar ou fortalecer a exposição de RDP, monitorar padrões conhecidos de web shell e detectar a execução de comandos de remoção de cópias sombra. A lista branca de aplicações e a manutenção de backups regulares e offline podem reduzir significativamente o impacto do ransomware.

Resposta

Quando a atividade do Avaddon é detectada, isole o sistema comprometido, capture evidências voláteis, bloqueie comportamentos associados na linha de comando e inicie a resposta a incidentes com imagem forense completa. Recupere dados de backups offline de confiança e considere envolver a aplicação da lei devido às táticas de dupla extorsão.

Fluxo de Ataque

Simulações

Sumário Executivo

ID do Caso de Teste: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
Resumo da Lógica da Regra de Detecção: Detecta qualquer email cujo assunto contenha a palavra “load” e cujo corpo inclua as strings “.exe” e “.msi”, indicando um link de download malicioso.
Linguagem/Formato da Regra de Detecção: sigma
Ambiente de Segurança Alvo: Windows OS – logs de conexão de rede (por exemplo, Windows Firewall, proxy, logs DNS) – plataforma SIEM que consome regras Sigma (por exemplo, Splunk, Elastic, Azure Sentinel)
Pontuação de Resiliência (1-5): 2
Justificativa: A regra se baseia em…
Ver Simulações Completas