SOC Prime Bias: Високий

03 Dec 2025 17:12 UTC

Аналіз і Технічний Огляд Вимагача Avaddon Riddle Spider

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Аналіз і Технічний Огляд Вимагача Avaddon Riddle Spider
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Avaddon – це операція “Зловмисне ПЗ як послуга” (RaaS), якою керує злочинна група Riddle Spider. Мальваре на основі C++ шифрує локальні та доступні по мережі дані, видаляє тіньові копії та використовує подвійну модель вимагання, погрожуючи витоком ексфільтрованої інформації. Вона розгортається через вкрадені облікові дані, відкриті служби RDP та кастомні веб-шелли, і значною мірою використовує кілька технік антианалізу.

Аналіз-вимагання Avaddon

Аналіз детально описує кодову базу Avaddon, як він зберігає свою конфігурацію, виконує географічні перевірки, зупиняє служби, завершує процеси та виконує шифрування за допомогою AES-256 з унікальними ключами для кожного файлу. Він також перераховує служби та процеси, вибрані для завершення, і конкретні команди, що використовуються для вимкнення механізмів відновлення.

Захист

Захисники повинні забезпечити надійну гігієну облікових даних, обмежити або посилити експозицію RDP, моніторити відомі шаблони веб-шеллів та виявляти виконання команд видалення тіньових копій. Білі списки додатків і регулярні, офлайн резервні копії можуть значно зменшити вплив вимагального ПЗ.

Відповідь

У разі виявлення активності Avaddon, ізолюйте скомпрометовану систему, збережіть леткі докази, блокуйте пов’язану поведінку командного рядка, ініціюйте реагування на інцидент з повним криміналістичним зображенням. Відновлюйте дані з надійних офлайн резервних копій та розгляньте можливість залучення правоохоронних органів через тактику подвійного вимагання.

Потік Атаки

Симуляції

Огляд керівництва

Ідентифікатор тестового випадку: TC-20251104-A7B9Z
ТТП: T1219, T1566.001
Короткий зміст логіки правила виявлення: Виявляє будь-який електронний лист, у якому у темі міститься слово “load”, а в тілі є обидва рядки “.exe” і “.msi”, що вказує на зловмисне посилання для завантаження.
Мова/Формат правила виявлення: сигма
Цільове середовище безпеки: ОС Windows – журнали підключення до мережі (наприклад, Windows Firewall, проксі, журнали DNS) – платформа SIEM, яка споживає правила Sigma (наприклад, Splunk, Elastic, Azure Sentinel)
Оцінка стійкості (1-5): 2
Обґрунтування: Правило залежить від…
Перегляд усіх симуляцій