Wydaje się, że operatorzy oprogramowania ransomware Avaddon przygotowują się do przeprowadzania tzw podwójne wymuszenie cyberataków, stosunkowo nowa taktyka, zgodnie z którą gangi cyberprzestępców nie tylko przechowują zaszyfrowane dane swoich ofiar w celu zapłacenia okupu, ale także grożą ujawnieniem ich opinii publicznej, jeśli nie otrzymają zapłaty.
Wiadomo już, że znane ofiary takich ataków obejmują lubi dostawcę technologii drukowania i przetwarzania obrazu, firmę Canon, kancelaria prawnicza Grubman, firma usługowa Allied Universal, medyczny strój badawczy HMR, firma ubezpieczeniowa Chubb, i firma elektroniczna LG, wśród wielu innych.
Spopularyzowano taktykę podwójnego wymuszenia przez operatorów Maze, ale teraz rozprzestrzenia się na inne grupy przestępcze, a wcześniej w sierpniu BleepingComputer’s Lawrence Abrams ujawnił przekonujące dowody rzekomo pokazujące, że operatorzy Avaddon założyli ciemną stronę internetową, aby publicznie ujawniać dane skradzione jego ofiarom, a la Maze i ReVIL / Sodinokibi.
Teraz analityk Cofense Intelligence Aaron Riley potwierdził nowe wzorce ataków, które potwierdzają, że gang Avaddon rozszerza się w kierunku eksfiltracji danych.
Oprogramowanie ransomware po raz pierwszy zwrócił na siebie uwagę w czerwcu 2020 r, kiedy zauważono, że atakuje szeroką grupę celów za pośrednictwem botnetu Trik za pośrednictwem wiadomości phishingowych. Podobnie jak wiele innych odmian, działa jako biznes ransomware-as-a-service (RaaS).
„Eksfiltracja wrażliwych danych może być szkodliwa dla organizacji i pociągać za sobą poważne konsekwencje prawne, finansowe i reputacyjne, dlatego gracze wykorzystują je do wyłudzania pieniędzy” – napisał w nowym zawiadomieniu o ujawnieniu. „Dzięki tym najnowszym osiągnięciom firma Avaddon dołączyła do kilku innych rodzin oprogramowania ransomware, dodając eksfiltrację danych w celu wykorzystania ich jako dźwigni do płatności za wymuszenia”.
Riley powiedział, że ogląda teraz kampanię, w której Avaddon łączy się ze złodziejem informacji, mocno sugerując, że jego operatorzy przygotowują się do dobrego wykorzystania swojej nowej ciemnej domeny internetowej. Ta kampania skutecznie omija rozwiązania zabezpieczające pocztę e-mail i jest skierowana do kilku różnych branż, w tym energii, opieki zdrowotnej, ubezpieczeń, produkcji, górnictwa i handlu detalicznego.
Typowy phish Avaddon zidentyfikowany przez Cofense podszywa się pod dobrze znaną markę wysyłkową – w tym przypadku FedEx. Jeśli cel kliknie wysłany do niego złośliwy osadzony odsyłacz, pobierze złośliwy program Smoke Loader, który z kolei działa jako mechanizm dostarczania zarówno dla Avaddon, jak i Racoon Stealer.
Riley zauważył, że biorąc pod uwagę, że Avaddon jest prowadzony jako biznes RaaS, wykazał pewną konsekwencję, że jego operatorzy wykorzystują Racoon Stealer, który działa jako złośliwe oprogramowanie jako usługa (MaaS), aby dodać nowe funkcje do swoich ataków. Dodał, że użycie próbki MaaS do kradzieży danych sugeruje, że gang Avaddon ma możliwość podłączenia się do innych rodzin MaaS, jeśli tego potrzebują lub chcą.
Powiedział, że podwójne ataki wymuszeń są obecnie szczególnie niebezpieczne, ponieważ zazwyczaj organizacja może przygotować się na oprogramowanie ransomware, dokładając szczególnej staranności przy tworzeniu kopii zapasowych danych – teraz to już nie wystarcza, jeśli dane są również kradzione i wyciekane, a także podnosi możliwość podjęcia działań prawnych przez osoby, których dane dotyczą, i organy regulacyjne, a także szkody dla reputacji.
„Ponieważ Avaddon widzi rosnące sukcesy tych wysiłków, możemy spodziewać się, że więcej operatorów ransomware pójdzie w ich ślady” – powiedział Riley. „Podsumowując, przewidujemy, że wkrótce najbardziej niebezpieczną częścią oprogramowania ransomware dla organizacji będzie eksfiltracja danych”.
