最近，不知是出于什么原因，Avaddon勒索軟件背后的黑客向安全研究人員主動寄出解密密鑰。一封假裝來自聯(lián)邦調(diào)查局的電子郵件已經(jīng)發(fā)出，其中包含一個密碼和一個受密碼保護的壓縮文件的鏈接。該文件聲稱是Avaddon勒索軟件的解密密鑰。該文件被發(fā)送給來自EMSIsoft的名為Fabian Wosar的安全研究員和來自Coverware的Michael Gillespie。這兩名研究人員調(diào)查了電子郵件所附的軟件，并確定它是無害的，并且包含了為成為Avaddon勒索軟件受害者的用戶提供的解密密鑰。Emsisoft與BleepingComputer分享了一個測試解密器，實驗證明可以解密一個用Avaddon最近的樣本加密的虛擬機。

　　Avaddon總共發(fā)布了2934個解密密鑰，每個密鑰對應(yīng)于該組織的一個受害者。Emsisoft發(fā)布了一個免費的解密程序，任何該軟件的受害者都可以用它來免費恢復(fù)他們的文件，該解密程序文件可以在這里訪問到。

　　根據(jù)分析，Avaddon組織已經(jīng)停止了惡意攻擊活動。經(jīng)確認(rèn)托管在 Tor 網(wǎng)絡(luò)隱藏服務(wù)上的 Avaddon 網(wǎng)站目前已經(jīng)不可用，這說明該組織的活動已被關(guān)閉。

　　關(guān)閉背后的原因仍然未知，但可能與Colonial Pipelin事件以及美國的法律法規(guī)有關(guān)。今年美國燃油燃氣管道運營商Colonial Pipeline遭到黑客攻擊，被迫支付贖金。國土安全部發(fā)言人薩拉佩克在一份聲明中表示，拜登政府正在采取進一步行動，以更好地保護我們國家的關(guān)鍵基礎(chǔ)設(shè)施。運輸安全管理局正與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局密切合作，與管道行業(yè)的公司進行協(xié)調(diào)，以確保它們采取必要措施，提高自身應(yīng)對網(wǎng)絡(luò)威脅的能力，并保護自己的系統(tǒng)。

　　Avaddon的歷史

　　Avaddon于2020被發(fā)現(xiàn)，一開始只是通過垃圾郵件展開攻擊，提供勒索軟件即服務(wù)（RaaS），后來，攻擊者開發(fā)出惡意廣告及遠程桌面攻擊，甚至是在成功感染企業(yè)之后，進一步發(fā)動分布式服務(wù)阻斷攻擊以逼迫受害者支付贖金，Avaddon的活躍程度使得美國FBI與澳洲的網(wǎng)絡(luò)安全中心曾公開警告企業(yè)小心來自Avaddon的攻擊。

　　Avaddon組織首現(xiàn)于某俄羅斯黑客論壇，Avaddon勒索軟件的特點有：

　　C++編寫，使用WinAPI，不依賴第三方；支持Windows7以上版本；文件加密算法：AES256 + RSA2048；支持IOCP異步通知機制；支持內(nèi)網(wǎng)掃描，如SMB掃描、DFS掃描；使用PowerShell的無文件落地；反檢測機制，設(shè)置注冊表來繞過UAC；加密的文件擴展名包括：MS Office文檔、PDF、文本、數(shù)據(jù)庫、圖像文件和音頻文件；多線程文件加密以獲得最大性能；加密所有本地和遠程和可訪問驅(qū)動器；IOCP 支持并行文件加密；持續(xù)加密新寫入的文件和新連接的媒體；能夠跨網(wǎng)絡(luò)共享（SMB、DFS）傳播；多種傳播選項（腳本、PowerShell、。EXE 有效負(fù)載 .DLL）；Payload 以管理員身份執(zhí)行；加密隱藏文件和卷；刪除垃圾、卷影副本 （VSS） 和其他還原點；終止禁止加密文件的進程。

　　為了謀取更多的利益，Avaddon組織會與其他組織合作，比如臭名昭著的Phorpiex僵尸組織。  該模式為典型的AaaS（Access as a Service，訪問即服務(wù)），即Avaddon勒索團伙通過其他黑產(chǎn)團伙提供肉雞訪問權(quán)限來擴大勒索面，從而謀取更多的利益。 后來，Avaddon勒索組織又開發(fā)出了使用竊取數(shù)據(jù)威脅受害者繳納贖金的獲利模式。據(jù)統(tǒng)計，已有多個目標(biāo)被Avaddon勒索組織在暗網(wǎng)上公開隱私文件，比如保險信息和項目檔案等。

　　技術(shù)迭代過程

　　Avaddon 通常通過網(wǎng)絡(luò)釣魚活動通過包含混淆的 JPEG 或 ZIP 附件（實際上是帶有宏的 JavaScript 或 Excel）的電子郵件進行傳播。然而，勒索軟件利用了其他幾種感染媒介，包括被其他惡意軟件（Smoke Loader、Phorpiex/Trik、Rigek 等）下載或在信息系統(tǒng)遭到破壞后直接傳播，特別是通過遠程桌面協(xié)議 （RDP） 和虛擬專用網(wǎng)絡(luò) （VPN）。

　　在一項調(diào)查中，Avaddon 的傳播主要是依賴缺乏 VPN 更新和不安全的密碼，然后獲得 Active Directory 域的最大權(quán)限，收集和泄露敏感數(shù)據(jù)，并在多臺計算機上部署他的加密軟件。

　　Avaddon 的加密機制避開了 Windows 系統(tǒng)的關(guān)鍵區(qū)域，允許受害者使用他們的計算機并目睹損壞。如果贖金未在十天（240 小時）內(nèi)支付，該組織將在其數(shù)據(jù)泄露網(wǎng)站上公布所有被盜數(shù)據(jù)。

　　自第一個版本發(fā)布以來，Avaddon 勒索軟件經(jīng)過多次修改和改進，特別是在其加密機制和有效載荷方面：

　　早在 2020 年 6 月，開發(fā)人員就已經(jīng)集成了通過 Powershell 啟動有效載荷的能力，以解決防病毒軟件對 Avaddon 的改進檢測問題；

　　2021 年 1 月，Avaddon 增加了對 Windows XP 和 2003 的支持；

　　2021 年 2 月，開發(fā)人員修復(fù)了勒索軟件加密機制中的一個漏洞。

　　攻擊目標(biāo)

　　Avaddon 勒索軟件針對 IT 服務(wù)、批發(fā)和衛(wèi)生等廣泛領(lǐng)域的國際公共和私人組織。最近的受害者包括美國公司美國銀行系統(tǒng) （ABS）、比利時咨詢公司 Finalyse 以及最近的馬耳他政黨和保險公司 Group AXA。

　　但是，該組織禁止使用者瞄準(zhǔn)獨立國家聯(lián)合體 （CIS） 的國家/地區(qū)。此外，勒索軟件在攻擊期間會運行腳本以識別其目標(biāo)的語言。如果檢測到俄語或烏克蘭語，則自動停止運行。