勒索团伙追踪:Avaddon的发展历程

访客4年前黑客资讯1088

一、背景

近期,深信服威胁情报团队通过对外部情报监控发现,全球范围内超过250家企业正在遭受内部文件被勒索团伙窃取后在暗网公开二次威胁。Avaddon勒索团伙就是其中一个典型。

深信服千里目安全实验室对这个勒索团伙有过深度分析,具体见6月发表的《深度分析阿瓦顿(Avaddon)勒索软件》。情报监控发现,截至9月初,该团伙已成功攻击2家美国企业和1家美国院校,并在勒索未果后,在暗网上公开其敏感文件。通过情报还发现,Avaddon勒索团伙的攻击目标亦包含中国,已有小部分国内企业受到影响,且不排除未来扩大影响的可能。

本文将通过梳理新型勒索团伙Avaddon的发展历程,并分析其在国内的影响情况,以帮助大家更好的了解和防范此勒索团伙。

二、进击的Avaddon团伙

1. 单打独斗已过去,RaaS服务是未来

2020年6月2日,Avaddon团伙首现于某俄罗斯黑客论坛,所开发的Avaddon勒索软件除了供自身使用之外,也通过提供勒索即服务(RaaS, Ransomware as a Service)谋求外部合作以窃得更大的利益。

Avaddon勒索软件具备如下功能特点:

C++编写,使用WinAPI,无第三方依赖

支持Windows7以上版本

文件加密算法:AES256 + RSA2048

支持IOCP异步通知机制

支持内网扫描,如 *** B扫描、DFS扫描

使用PowerShell的无文件落地

反检测机制,设置注册表来绕过UAC,并提升为管理员权限

加密的文件扩展名包括:MS Office文档、PDF、文本、数据库、图像文件和音频文件等等

Avaddon勒索软件更新迭代时间线:

另外,还有两个值得关注的点:

该团伙规定合作方(使用Avaddon RaaS服务)不得在独立国家联合体的成员国分发勒索软件,包括:俄罗斯联邦、白俄罗斯共和国、摩尔多瓦共和国、亚美尼亚共和国、阿塞拜疆共和国、塔吉克斯坦共和国、吉尔吉斯斯坦共和国、哈萨克斯坦共和国、乌兹别克斯坦共和国。结合该Avaddon勒索团伙只接受俄语合作方,由此可见Avaddon的攻击者均来自于俄语国家。

勒索面板支持中文显示,说明我国是该Avaddon勒索团伙计划攻击的区域。除此之外还支持英语、德语、法语、意大利语、西班牙语、葡萄牙语、日语和韩语。

2. Avaddon的发家之路

Avaddon勒索团伙为了谋取更多的利益,会与其他成熟的黑产团伙合作,根据深信服威胁情报关联数据,我们发现其中包括臭名昭著的Phorpiex僵尸 *** 团伙。部分Avaddon勒索软件通过217.8.117.63下发到受害者主机,而实际上217.8.117.63为Phorpiex僵尸 *** 。如下所示:

该模式为典型的AaaS(Access as a Service,访问即服务),即Avaddon勒索团伙通过其他黑产团伙提供肉鸡访问权限来扩大勒索面,从而谋取更多的利益。

其合作方画像如下:

3. 暗流涌动,勒索数据泄露频频发生

自2019年Megacortex勒索家族开创勒索软件窃取数据二次威胁的先河后,Avaddon勒索团伙也沿用此模式来威胁受害者缴纳赎金。

据统计,已有两家美国企业和1家美国院校被Avaddon勒索团伙在暗网上公开私密性较高的文件,其中包括:私人赎金、保险信息和项目档案等等。具体下图所示:

据暗网情报监控,除Avaddon勒索团伙外,至少还有13家勒索家族团伙也在暗网上公开敏感文件,涉及250家以上的受害企业。各个勒索团伙公开的受害企业名数据的统计情况如下:

通过公开敏感数的受害企业区域分布分析,勒索团伙热衷攻击于攻击美国企业,而从受害企业的行业分布来看,勒索团伙并未有明显的行业倾向性。

4. 小结

综合以上内容,我们可以得到的Avaddon勒索团伙画像:

三、Avaddon已登陆,国内企业需保持警惕

通过威胁情报关联,我们发现Phorpiex僵尸 *** 团伙为Avaddon勒索团伙的合作方,其合作模式为:Phorpiex僵尸 *** 向各地分发携带恶意JavaScript代码的垃圾邮件,最后通过BITSadmin命令下载并执行Avaddon勒索软件。

据深信服安全云脑统计,Phorpiex僵尸 *** 在国内已有较多的感染主机,从深信服安全设备拦截到的恶意流量数据来看,广东、上海、江苏、浙江等经济较发达地区是主要目标,其它省份也受到不同程度的影响,如下图所示:

四、总结

勒索软件产业发展至今,勒索软件RaaS服务与“肉鸡”出售AssA服务相结合已然形成趋势,导致勒索软件攻击的门槛和成本降低,攻击效率提升,影响范围扩大,并带来以下启示:

企业内网中的僵尸 *** 主机可能存在更大的潜在安全风险。如果没有及时处理内网中的僵尸 *** 主机,导致的不仅仅是僵尸 *** 病毒在内网的持续扩散,且越来越多的“肉鸡”也必将带来更大的数据泄露以及勒索的风险;

因勒索未果而演变的信息泄漏事件将会越来越多,勒索团伙获得数据后的处理手段也会越来越激进,更多的企业会因为担心数据泄露而交赎金,如得不到有效控制,整个勒索软件黑色产业发展也会继续壮大。

为了应对愈发成熟的勒索黑产团伙,企业内部需要更多的了解黑客团伙攻击各阶段的威胁情报,以争取更多的主动权。借助威胁情报,企业可以更好的了解到各个攻击团伙所使用的攻击手段,感知到黑客攻击所处的各个阶段,再通过安全设备进行防御和拦截,最后按照提供的处置建议对设备中的威胁进行清除,加固 *** 环境。

相关文章

多名南京在校大学生被跨省刑拘怎么回事 详细经过真相曝光令人震惊

多名南京在校大学生被跨省刑拘怎么回事 详细经过真相曝光令人震惊

6月18日,南京多所高职院校的9名大学生被河南警方跨省带走,刑事拘留。据了解,2019年暑期,南京某学院学生金某找到多名在校学生,以1000元至1500元的“报酬”招募学生注册公司,注册后金某收走公司...

黑客栈的图片欣赏(老客栈图片)

黑客栈的图片欣赏(老客栈图片)

本文目录一览: 1、老黑客栈怎么样 2、古代有很多客栈,你知道有哪些著名的黑店吗? 3、你在张家界有遇到过黑司机、黑导游、黑客栈吗? 老黑客栈怎么样 客栈的环境很幽静,布置很有心,总体来说感...

优酷上传视频怎么赚钱?优酷怎样发布视频赚钱

优酷上传视频怎么赚钱?优酷怎样发布视频赚钱

优酷在网络电影合作政策上公布了全新的分账模式及规则。其中在影片收益的算法上进行了改变,新的票房计算更清晰更直白;同时,本次新增了站内资源的支持,根据影片定级,不同级别配置不同的推广资源,也对各位合作方...

一般黑客使用什么语言(黑客的语言是什么)

一般黑客使用什么语言(黑客的语言是什么)

本文目录一览: 1、现在黑客一般都用那些语言 比较实用这篇文章的c语言是指c系列所有语言吗? 2、黑客刚开始学的是什么编程语言? 3、黑客一般使用的是C语言还是C++呢?为什么? 4、黑客...

6省区市发布经济运行“成绩单”:高质量势头强劲

6省区市发布经济运行“成绩单”:高质量势头强劲

1月20日,根据国家统计局授权,北京、重庆、陕西、内蒙古、甘肃、辽宁等省(区、市)发布2019年国民经济运行“成绩单”。从已发布的数据看,服务业保持较快发展,特别是现代服务业增势良好,各地高质量发展的...

支付宝相互保怎么退出(越来越多的人退出相互宝)

支付宝相互保怎么退出(越来越多的人退出相互宝)

一句“帮助他人,守护自己;一人生病,大家出钱”,让无数人加入了这个便宜又实惠的保险组织。从最初的赞美到现在的质疑,越来越多的人在对相互宝发出提问,相互宝经历了什么? 从免费到付费 笔者是第一批受邀加入...