- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
2021年5月中旬,全球最大的保险公司之一安盛(AXA)集团位于亚洲的分支机构遭到了勒索软件攻击,有3TB的敏感数据被窃取,包括客户医疗报告、身份证副本、银行账户报表、合同等。为了引起注意和施加压力,攻击者还对安盛的全球网站进行了DDoS攻击。赎金支付期限到期后,窃取的数据遭到泄露。此次事件的幕后攻击者正是Avaddon勒索组织。
Avaddon勒索组织于2020年6月初首次出现在某国外黑客论坛,发布广告,开始为其勒索软件即服务(RaaS)运营计划招募合作伙伴,通过这些合作伙伴来分发勒索软件。
Avaddon作为快速、可定制、功能全面和支持良好的勒索软件服务在地下市场得到大力推广。例如,在发布招募广告之后仅隔两天,就与Phorphiex僵尸网络进行合作,针对全球用户,短时间内分发了大量带有Avaddon勒索软件的恶意垃圾邮件。
Avaddon的勒索目标非常广泛,没有行业限制。但是不攻击独联体国家,这与REvil、DarkSide等勒索软件类似。同样根据目标的年收入来制定勒索赎金金额,获得的赎金由Avaddon和合作机构按比例分成,通常为25%:75%,要求使用比特币(BTC)或门罗币(XMR)来支付赎金。
在勒索策略方面,Avaddon也一直紧随“潮流”。2020年8月,在首次出现后仅过两个月,Avaddon就建立了自己的暗网数据泄露站点。对拒绝支付赎金的受害者,被窃取的数据将公开在此站点上。此外,Avaddon也是提供DDoS攻击服务的RaaS运营组织之一。2021年1月,该组织第一次使用DDoS攻击了一个受害者,迫使其支付赎金。
在该组织迅速发展之际,却出现了一个小插曲。2021年2月初,研究人员分析发现了Avaddon勒索软件的一个漏洞。该漏洞导致勒索软件在加密后,密钥会留存在内存中,只要不重启系统,就可获取留存的密钥进行解密还原。研究人员以此制作了一个开源解密工具。不过,由于该漏洞被公开,引起了Avaddon开发维护人员的注意,并在一天内就完成了修复,导致该解密工具失效。
在勒索组织DarkSide因攻击Colonial Pipeline燃油管道运营商被迫关闭运营之后,Avaddon吸收了其部分合作伙伴,并增加了一些新的勒索目标限制,包括禁止攻击政府部门、医疗卫生部门和教育机构,以防遭到毁灭性打击。但在一个月之后,2021年6月11日,Avaddon还是突然宣布关闭运营,并将所有2934个受害者的解密密钥发出,研究人员以此制作出了免费解密器。
由于积极的招募合作伙伴,服务和工具集的不断更新,2021年上半年Avaddon的攻击活动激增,部分活动介绍如下:
2021年1月,Avaddon团伙入侵了印度最大的食品和农产品加工集团Allana,窃取了81GB的公司敏感数据
2021年3月,入侵医疗集团Prestige medical group,窃取信息并对其站点进行DDoS攻击
2021年6月,Avaddon在泄露站点上公布入侵了意大利运输集团Hupac,欧洲领先的铁路运营商
根据已公开的攻击事件数据,新华三安全攻防实验室对2021年上半年Avaddon勒索攻击受害者的行业分布进行统计,结果如图。其中制造业受影响最严重,其他如专业和法律服务、金融、医疗健康、政府机构、信息技术、交通运输、批发零售等行业也受到了一定的影响。
Avaddon勒索软件在受害机器上加密完成后会留下如下特征:
加密完成后会替换壁纸:
留下勒索信息文件,提示用户操作。早期使用.html文件格式,文件名{random}-readme.html。当前使用.txt文件,文件名{random}_readme_.txt。
修改加密文件的后缀名,早期为.avdn,当前是随机字符串,可用正则模式表示为\.[a-eA-E]{9,10}。
在已披露的Avaddon组织攻击事件中,常见的初始入侵手段有:钓鱼邮件、RDP、僵尸网络、漏洞利用等。
Avaddon勒索软件只针对Windows平台,样本没有采用复杂的混淆、加壳等反分析技术,但对字符串使用“异或+Base64”加密保存,需要运行时解密。
样本运行之后,首先检查系统语言和键盘布局来确定受害者所在地区,以避开独联体国家用户。
创建互斥量“Global\{A86668A3-8F20-41F3-97D1-676B2AD6ADF7}”,避免重复运行。
通过检测调试器和检测硬件断点进行反调试。
权限提升,旧版本(2020.06)通过CMSTPLUA COM接口绕过UAC提升到管理员权限。而新版本(2021.02)通过修改注册表来绕过UAC,将EnableLUA和ConsentPromtBehaviorAdmin注册项值设置为0,以及将EnableLinkedConnections设置为1来提升访问映射网络驱动器的权限。
持久化,将可执行文件拷贝到路径“%APPDATA%\Microsoft\Windows\”,并创建计划任务,名称为“update”。
为了保证加密操作顺利进行,防止目标文件被占用,Avaddon勒索软件会关闭指定的进程和服务,包括杀软、数据库管理、VMware等。
利用各种Windows工具和应用程序来禁用系统恢复选项,删除备份和卷影副本,并且清空回收站。
wmic SHADOWCOPY /nointeractive
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP –deleteOldest
wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
Avaddon勒索软件将所有未挂载的磁盘卷进行挂载,遍历本地磁盘和网络磁盘上的文件进行加密。在此过程中绕过以下目录:
C:\Perflogs,C:\Users\Public,C:\ProgramData,C:\Program Files,C:\Program Files (X86),C:\Users\{User}\AppData,C:\Users\{User}\AppData\Local\Temp,C:\Windows
以及跳过具有以下扩展名的文件:
.exe,.bin,.sys,.ini,.dll,.dat,.drv,.rdp,.prf,.swp,.lnk
但是,由于Exchange 和 SQL Server的数据是Avaddon的重要目标,因此它不会跳过以下路径:
C:\Program Files\Microsoft\Exchange Server,C:\Program Files (x86)\Microsoft\Exchange Server,C:\Program Files\Microsoft SQL Server,C:\Program Files (x86)\Microsoft SQL Server
Avaddon采用 AES-256和RSA-2048组合对文件进行加密,加密后的文件末尾被添加一个加密标记,使avaddon能够识别并避免二次加密。并在每个文件夹下生成勒索信文件。为了提高文件加密速度,Avaddon采用IOCP模型创建多线程,线程数为CPU核心数的4倍,并且对于大文件,只加密文件头部1MB数据。
从2020年6月初开始出现到2021年6月11日关闭运营,短短一年的时间里,Avaddon凭借RaaS运营模式的优点,积极招募合作伙伴,不断发起勒索攻击,迅速成为这一期间最活跃的勒索组织之一。对于其突然关闭运营,推测可能与日益严厉的针对勒索攻击的打击有关。在其关闭前的5月初,美国联邦调查局(FBI)和澳大利亚网络安全中心(ACSC)曾发布警告提醒到该组织攻击事件激增。该组织此举也有可能是想改头换面,以此摆脱目前跟踪其一举一动的执法机构和安全公司,等待时机卷土重来,因此广大企业和用户还需注意防范。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
