La banda de ransomware Avaddon ha cerrado la operación y ha entregado las claves de descifrado de sus víctimas a BleepingComputer.com .
Esta mañana, BleepingComputer recibió un aviso anónimo que se hacía pasar por el FBI y que contenía una contraseña y un enlace a un archivo ZIP protegido por contraseña.
Este archivo decía ser «Decryption Keys Ransomware Avaddon» y contenía los tres archivos que se muestran a continuación.
Después de compartir los archivos con Fabian Wosar de Emsisoft y Michael Gillespie de Coveware , confirmaron que las claves son legítimas.
Usando un descifrador de prueba compartido con BleepingComputer por Emsisoft , descifré una máquina virtual cifrada hoy con una muestra reciente de Avaddon.
En total, los actores de la amenaza nos enviaron 2.934 claves de descifrado, donde cada clave corresponde a una víctima específica.
Emsisoft está trabajando en un descifrador gratuito con estas claves, y debería estar disponible dentro de las próximas 24 horas, si no antes.
Si bien no sucede con la frecuencia suficiente, los grupos de ransomware han publicado previamente claves de descifrado para BleepingComputer y otros investigadores como un gesto de buena voluntad cuando cierran o lanzan una nueva versión.
En el pasado, se lanzaron claves de descifrado para TeslaCrypt , Crysis , AES-NI , Shade , FilesLocker , Ziggy y FonixLocker .
Avaddon cierra la operación de ransomware
Avaddon lanzó su operación en junio de 2020 a través de una campaña de phishing que contenía un guiño sonriente, que se muestra a continuación.
Con el tiempo, Avaddon se ha convertido en una de las operaciones de ransomware más importantes, y el FBI y la policía australiana publicaron recientemente avisos relacionados con el grupo.
En este momento, todos los sitios Tor de Avaddon son inaccesibles, lo que indica que es probable que la operación de ransomware se haya cerrado.
Además, las firmas de negociación de ransomware y los respondedores de incidentes vieron una loca carrera por parte de Avaddon en los últimos días para finalizar los pagos de rescate de las víctimas impagas existentes.
El CEO de Coveware, Bill Siegel, le ha dicho a BleepingComputer que la demanda de rescate promedio de Avaddon fue de alrededor de $ 600k.
Sin embargo, en los últimos días, Avaddon ha estado presionando a las víctimas para que paguen y acepten la última contraoferta sin ningún rechazo, lo que Siegel afirma que es anormal.
No está claro por qué Avaddon cerró, pero probablemente fue causado por el aumento de la presión y el escrutinio de las fuerzas del orden y los gobiernos de todo el mundo después de los recientes ataques contra la infraestructura crítica.
«Las acciones recientes de la aplicación de la ley han puesto nerviosos a algunos actores de amenazas: este es el resultado. Uno menos, y esperemos que otros también caigan», dijo Brett Callow, analista de amenazas de Emsisoft, a BleepingComputer.
Con los recientes ataques contra Colonial Pipeline y JBS , el ransomware se ha convertido en una prioridad del gobierno de EE. UU.
Como se cree que la mayoría de las operaciones de ransomware más grandes se realizan dentro de Rusia u otros países de la CEI, el presidente Biden discutirá estos recientes ataques de ransomware con el presidente ruso Vladimir Putin en la cumbre del 16 de junio en Ginebra.
Fuente: www.bleepingcomputer.com
