Kolejny gang udostępnia klucze deszyfrujące
Kiedy w marcu pisaliśmy o bezprecedensowym działaniu gangu ransomware Ziggy, który zakończył swoją działalność i postanowił udostępnić swoim ofiarom klucze deszyfrujące, nie spodziewaliśmy się, że Avaddon, jedna z najgroźniejszych grup ransomware, pójdzie tym samym śladem. Anonimowy członek Avaddon za pomocą wiadomości e-mail przekazał redakcji BleepingComputer plik ZIP Decryption Keys Ransomware Avaddon, w którym znalazły się klucze deszyfrujące dla 2934 ofiar ransomware Avaddon. Już teraz redakcja Bleeping Computer współpracuje z Emisoft, aby stworzyć darmowy dekryptor, z którego może skorzystać każda ofiara Avaddona.
Niemal 3000 ofiar ransomware Avaddon
Gang ransomware Avaddon to jedna z najprężniej działających grup ransomware, choć wcześniejsze raporty przypisywały grupie zaledwie 88 ataków, to pozyskany plik ujawnia rzeczywistą skalę działania gangu. Liczba nieznanych dotychczas ofiar może wydawać się zaskakująca, jeśli jednak weźmiemy pod uwagę, że większość organizacji po cichu płaci okup atakującym i nigdy nie ujawnia danych w tym zakresie, to jest to jak najbardziej prawdopodobny wynik. Na podstawie średniej wysokości okupu (600 000 dolarów) i liczby ofiar, z łatwością można oszacować jakie zyski wygenerowała grupa. W przeciwieństwie do gangu Ziggy, który postanowił udostępnić klucze deszyfrujące z uwagi na toczące się śledztwo wobec członków gangu, grupa Avaddon najprawdopodobniej zarobiła wystarczająco dużo i stąd gang postanowił nie kontynuować swojej przestępczej działalności.
Ransomware Avaddon odpowiadał za 24% ataków ransomware
Avaddon pojawił się po raz pierwszy w lutym 2019 r. i działał w modelu ransomware as a service (RaaS). Od ataku na Colonial Pipeline w maju Avaddon odpowiadał za prawie 24% wszystkich incydentów związanych z oprogramowaniem ransomware. Gang ten był znany z tego, że groził swoim ofiarom atakiem DDoS, jeśli opierały się przed zapłaceniem okupu. Jakie organizacje znajdują się na liście ofiar Avaddona? Do najbardziej znanych należy gigant ubezpieczeniowy AXA, producent sprzętu komputerowego EVGA, Henry Oil & Gas, firma programistyczna Vistex, broker ubezpieczeniowy Letton Percival, indonezyjska firma PT Angkasa Pura I, Acer Finance i dziesiątki organizacji opieki zdrowotnej rozsianych po całym świecie. Co ciekawe, w maju przedstawiciel gangu ransomware Avaddon ogłosił zakaz atakowania sektora publicznego, edukacyjnego, opieki zdrowotnej i organizacji charytatywnych.
Ransomware największym wyzwaniem w zapewnieniu bezpieczeństwa
Niestety na miejscu jednego gangu kończącego działalność pojawia się szereg nowych podmiotów. Ataki ransomware są niezwykle dochodowe dla ich twórców, także możemy być pewni, że liczba ataków ransomware wciąż będzie rosnąć. Podkreślić należy, że coraz więcej ataków tego typu jest skrupulatnie przygotowywanych (często miesiącami), a ofiary nie są przypadkowe. Jak w takim razie chronić się przed ukierunkowanymi atakami, które grożą sparaliżowaniem działalności? Konieczne jest zastosowanie proaktywnego modelu cyberobrony, który wyprzedza działania atakujących. Czasy, w których wystarczające do obrony przed napastnikami były antywirusy oparte na bazach sygnatur bezpowrotnie minęły. Teraz, aby ochronić swoją sieć musisz zastosować bardziej innowacyjny arsenał. Najskuteczniejszy okazuje się duet antywirus nowej generacji i odpowiednio skonfigurowane narzędzie EDR (Endpoint Detection and Response). Chciałbyś bliżej poznać taki tandem? Zapraszamy na webinar, który poprowadzi nasz inżynier, podczas prezentacji przekonasz się sam jak oprogramowanie wyposażone w uczenie maszynowe i AI zatrzymuje próbki oprogramowania ransomware.
