Avaddon: acciones de respuesta y recuperación

Fecha de publicación 09/11/2023
Autor
INCIBE (INCIBE)
Avaddon: acciones de respuesta y recuperación

El ransomware Avaddon hizo su primera aparición a finales de 2019, pero su evolución hacia un servicio de Ransomware-as-a-Service (RaaS), no se produjo hasta mediados de 2020, cuando los creadores del malware se aliaron con una red de afiliados a través de foros para su distribución y comercialización. Por suerte para sus víctimas, a mediados de 2021 los atacantes que estaban detrás del desarrollo del ransomware decidieron dar por finalizada su actividad y filtraron de forma totalmente gratuita las claves de descifrados a través del portal BleepingComputer.

Este modelo operativo distingue entre los desarrolladores del malware, que se centran en la infraestructura y operación del servicio de pago a través de la red Tor, y los afiliados, que se encargan de la distribución utilizando diversas técnicas, como el spear-phishing o exploit-kits.

Aunque durante su período de actividad, Avaddon dirigió la mayoría de sus ataques a pequeñas y medianas empresas en Europa y Estados Unidos, es importante resaltar el impacto que tuvo en América Latina. Específicamente, países como Brasil, Colombia, Chile, Costa Rica, México y Perú, experimentaron un alto número de víctimas, incluyendo organismos gubernamentales y una amplia gama de industrias. 

Países infectados por Avaddon

- Países infectados por Avaddon. Fuente. -

Características

Gran parte del éxito de Avaddon fue debido a su vinculación con la botnet Proerpiex/Trik, dedicado al envío de campañas de spam, lo que favoreció su expansión, gracias a la elevada tasa de éxito conseguido en las campañas de phishing.

Desde su primera versión, el ransomware fue modificado y mejorado en varias ocasiones, especialmente en todo lo que respecta a su mecanismo de cifrado. Al principio de su expansión, los desarrolladores integraron la capacidad de lanzar el código malicioso a través de Powershell para abordar la detección mejorada de Avaddon por los antivirus. A principios de 2021, obtuvo soporte para Windows XP 2003, además de resolver algunas vulnerabilidades relacionadas con los mecanismos de cifrado del ransomware.

Motivación y modus operandi

El modelo de negocio de Avaddon estaba claramente orientado hacia el beneficio económico, ya que permitía que sus afiliados utilizaran el malware a cambio del 15–35% de las ganancias obtenidas por el rescate de sus víctimas. Sin embargo, cabe destacar a modo de curiosidad que, al igual que el ransomware Maze, una de las condiciones que el grupo impuso a sus afiliados, fue la prohibición de atacar víctimas que formasen parte de la Comunidad de Estados Independientes (CEI).

Además, el malware contaba con un script ejecutable que tenía la capacidad de detectar el idioma de las víctimas, para no infectar aquellos sistemas con el idioma ruso o ucraniano.

Por norma general, una parte de los datos robados se publicaba en un sitio web accesible desde la DeepWeb, como medio para dar credibilidad a sus afirmaciones e incitar a sus víctimas a pagar el rescate. Además, en caso de necesidad, también solían amenazar a sus víctimas con ataques DDoS, como estrategia para presionar y agilizar el pago.

Infección y propagación

Como muchos otros ejemplos de RaaS, los atacantes se sirven de diferentes vectores de ataque. Como medio de difusión, a menudo emplea emails engañosos que pretenden convencer al receptor de que existe una foto delicada de él en los archivos adjuntos.

Avaddon se difundió de manera rápida y sigilosa a través de correos electrónicos maliciosos con asuntos intrigantes como "¿Tu nueva foto?" o "¿Te gusta mi foto?". 

Ejemplo de correo electrónico de Avaddon

- Ejemplo de correo electrónico de Avaddon. Fuente. -

Estos correos incluían un mensaje aparentemente inofensivo acompañado de un emoji sonriente y un archivo JavaScript adjunto que simulaba ser una imagen, con extensión JPG.

Comando de descarga de Avaddon

-Comando de descarga de Avaddon. Fuente. -

También se tiene constancia del uso de otros vectores de ataque, como el uso de servicios RDP y redes VPN, a través de credenciales filtradas, o servicios vulnerables: 

  • Fortinet: aprovechándose de una vulnerabilidad del firewall SSL VPN, los atacantes conseguían acceso a la cuenta del administrador del dominio.
  • Microsoft Windows: este fallo de seguridad, que también fue aprovechado por otros ransomware, como es el caso de Ragnarok, permite el acceso al servidor y la obtención de un acceso de superadministrador (NT/SYSTEM). 

Una vez dentro del sistema objetivo, los atacantes llevaban a cabo el despliegue de balizas mediante el uso del framework Cobalt Strike. Estas balizas contenían el código malicioso que permitía la toma de control de las máquinas infectadas. Entre estos scripts, se encontraba el comando Bitsadmin que descargaba el auténtico ransomware dentro de la carpeta %Temp%.

El malware podía propagarse a otras unidades de red y otros dispositivos conectados, utilizando la caché ARP de la víctima para identificar y explorar nuevas redes, enfocándose en los volúmenes CIFS/SMB para cifrarlos.

Propiedades

El malware presenta una serie de mecanismos para eludir los mecanismos de seguridad:

  • Antidepuración: detectaba activamente la presencia de depuradores, herramientas que los profesionales de seguridad utilizan para analizar y desactivar software malicioso. Si identificaba un depurador en funcionamiento, pausaba su proceso de cifrado. Esta estrategia dificultaba considerablemente su análisis y neutralización por parte de los analistas.
  • Persistencia: capacidad para auto-replicarse y guardar una copia de sí mismo en una carpeta específica dentro del sistema operativo Windows. Esta característica aseguraba que, incluso después de reiniciar el sistema, Avaddon permaneciera activo. Además, mediante la integración con el programador de tareas utilizando la tecnología COM de Microsoft, el malware podía reiniciarse y operar constantemente, consolidando su presencia en el sistema comprometido.
  • Interrupción de Procesos: identificaba y detenía determinados servicios o aplicaciones en ejecución. Estas interrupciones estaban orientadas a aquellos procesos que pudieran obstaculizar sus actividades maliciosas. Esta función no solo evitaba posibles obstáculos, sino que también aseguraba una mayor tasa de éxito en sus operaciones de cifrado y extorsión.
  • Modificación de Acceso: modificaba ciertos registros del sistema para acceder a unidades de red que originalmente estaban protegidas o inaccesibles. Esta habilidad le permitía expandirse más rápidamente, especialmente en entornos de redes corporativas, donde podía propagarse a través de múltiples sistemas conectados.
  • Desactivación de Copias de Seguridad: tenía la capacidad de desactivar las funciones de copia de seguridad automáticas de Windows y eliminar las ya existentes. Así, no solo limitaba la posibilidad de recuperar archivos cifrados, sino que también incrementaba la probabilidad de que las víctimas decidieran pagar el rescate, dada la falta de alternativas de recuperación.

Cifrado

Una vez activado, Avaddon buscaba y cifraba archivos con la extensión .avdn. Utilizaba la CryptoAPI de Windows para generar una clave AES256 y, posteriormente, cifraba esa clave con una clave pública RSA de 2048 bits incorporada en el malware.

Cifrado AES con clave pública

-Cifrado AES con clave pública. Fuente. -

Llegados a este punto, el código dañino recorría el sistema de archivos, cifrando el contenido con la clave AES anterior. Cada uno de estos archivos cifrados incorpora al final algunos datos que contienen su propia clave AES, para permitir el descifrado posterior.

cifrado de archivos

- Cifrado de archivos. Fuente. -

Respuesta y desinfección

Como opción preventiva, se recomienda en cualquier caso parchear los sistemas Windows y Fortinet vulnerables, y realizar un bastionado apropiado en nuestros sistemas. 

En el caso de haber sido infectado por el ransomware, existen herramientas de descifrado de diversas empresas (Emsisoft o Bitdefender) basadas en las claves publicadas por los propios desarrolladores. Aunque el proceso de descifrado no es infalible, ha permitido a numerosas víctimas, que aún no habían pagado por el rescate de sus datos, recuperar sus archivos cifrados. 

A continuación, se describe el proceso de descifrado mediante una de estas herramientas, concretamente, la de Emsisoft:

Lo primero que deberemos hacer es descargar la versión correspondiente desde la web de la empresa, ejecutaremos el programa y aceptaremos los términos y condiciones. Posteriormente, seleccionaremos las unidades que deseamos descifrar.

Seleccionar unidades en la herramienta de Emsisoft

- Seleccionar unidades en la herramienta de Emsisoft. Fuente. -

Dentro de la pestaña opciones encontraremos diferentes configuraciones y opciones a seleccionar, en función de la familia del malware.

Mediante “Decrypt” comenzará el proceso. Podremos observar los avances de la herramienta en la información que se nos proporcionará en pantalla.

Resultado final tras el proceso de descifrado con la herramienta Emsisoft

- Resultado final tras el proceso de descifrado con la herramienta Emsisoft. Fuente. -

Además de nuestros datos descifrados, la herramienta nos permite guardar un registro con el resumen de los resultados del proceso. Solo deberemos hacer clic sobre el botón “Save log”. 

Conclusión

Avaddon, al igual que muchos otros ejemplos de RaaS, debería servir como muestra de los avances y facilidades que tienen los ciberdelincuentes para contratar este tipo de amenazas, así como su constante evolución. Del mismo modo, no podemos ignorar ni restar importancia a la prevención que las organizaciones deben implantar para protegerse de estos ataques, especialmente en lo relativo a la concienciación de los empleados y actualizaciones de seguridad.

Etiquetas