La Oficina Federal de Investigaciones (FBI) y el Centro Australiano de Ciberseguridad (ACSC) han emitido las alertas advirtiendo de una campaña de ransomware Avaddon en curso dirigida a organizaciones en una variedad de sectores en todo el mundo.
Según el asesorde la ACSC, los actores de la amenaza de Avaddon están apuntando a entidades de varios países, entre ellos Australia, Estados Unidos, Reino Unido, Francia, Alemania, Canadá, España, China, República Checa, Costa Rica, India, Italia, Portugal, Polonia y otros. Los sectores específicos incluyen gobierno, finanzas, aplicación de la ley, energía, tecnología de la información, salud, flete y transporte, manufactura, comercio minorista, energía y aerolíneas.
Avaddon se anuncia como un RaaS (Ransomware-as-a-Service) en foros subterráneos. El malware se entrega principalmente a través de phishing y correos electrónicos maliciosos que contienen archivos JavaScript maliciosos, dijo la ACSC.
Otras características de las campañas que involucran a Avaddon incluyen el uso de técnicas de "doble extorsión" como coerción y más presión para pagar un rescate, incluyendo amenazar con filtrar los datos de la víctima si no se paga un rescate, así como amenazar los ataques DDoS contra las víctimas.
Según el FBI, el proceso de extorsión/filtración de datos normalmente sigue estos pasos:
Advertencia de fuga: Después de obtener inicialmente acceso a una red de víctimas, los actores de Avaddon dejan una nota de rescate en la red de la víctima y publican una "advertencia de fuga" en el sitio web de fugas TOR de Avaddon (avaddongun7rngel.onion). La advertencia consta de capturas de pantalla de archivos (por ejemplo, documentos confidenciales) y prueba de acceso a la red de la víctima (por ejemplo, capturas de pantalla de carpetas de red).
5 Por ciento de fuga: Si la víctima no paga rápidamente el rescate dentro de 3 a 5 días, Avaddon actores aumentan la presión sobre las víctimas mediante la filtración de una parte de los archivos (en lugar de capturas de pantalla). Los actores de Avaddon filtran estos datos subiendo un pequeño . ZIP a la página web de fugas TOR de Avaddon.
Filtración completa: Si el rescate no se paga después de la fuga del 5 por ciento, los actores de Avaddon publican todos sus datos exfiltrados en general. Zip en la sección "Volcados completos" del sitio web de fugas tor de Avaddon.
Avaddon amenaza actores exigen el pago de rescate a través de Bitcoin, con una demanda promedio de alrededor de 0.73 bitcoin.
Para reducir el riesgo de comprometer la ACSC aconseja a las organizaciones mantener actualizados los sistemas operativos y las aplicaciones, escanear correos electrónicos y archivos adjuntos en busca de malware y mantener copias de seguridad cifradas sin conexión de los datos.
