Um novo participante na cena de Ransomware, o Avaddon Ransomware tem sido ativamente disseminado em campanhas de spam desde o início do mês, e os atacantes por trás dele continuam a recrutar afiliados em fóruns subterrâneos. Durante uma das campanhas detectadas campanhas, os cibercriminosos enviaram mais de 300.000 emails maliciosos usando o Botnet Phorphiex/Trik. Atualmente, o Avaddon é mais direcionado a usuários individuais do que a organizações, e o tempo dirá como será a evolução deste malware. Além disso, até que não haja casos em que os atacantes roubem dados antes de criptografar arquivos, como fazem os grupos mais avançados que distribuem Maze ransomware, DoppelPaymer, Ragnar Locker, e alguns outros.
Os cibercriminosos enviam emails maliciosos contendo apenas um emoji piscando no corpo do email e um arquivo JavaScript disfarçado como uma foto JPG em anexo. Para impedir que um usuário desatento suspeite de algo, os atacantes usam extensões duplas (você pode ler mais sobre este método e como detectar tentativas de explorá-lo aqui and aqui). O anexo malicioso inicia ambos os comandos PowerShell e Bitsadmin que baixam o executável do ransomware Avaddon e o executam. Esta campanha lembra o spam ‘Love Letter’ que havia distribuído o ransomware Nemty em fevereiro passado, talvez seja o mesmo ator de ameaça que corrigiu erros anteriores e começou a usar extensões duplas em arquivos maliciosos.
Regra de caça a ameaças submetida por Osman Demir permite que soluções de segurança descubram o ransomware Avaddon durante sua instalação e os primeiros passos do ataque: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Impacto
Técnicas: Dados Criptografados para Impacto (T1486)
