Το νέο Avaddon Ransomware ζωντανεύει σε μια τεράστια spam καμπάνια που στοχεύει χρήστες σε όλο τον κόσμο.
Το Avaddon κυκλοφόρησε στις αρχές αυτού του μήνα και στρατολογεί ενεργούς hackers και διανομείς malware για να διαδώσει το ransomware με κάθε δυνατό τρόπο.
Ως η πρώτη γνωστή επίθεσή του, το Avaddon Ransomware διανέμεται σε μια καμπάνια spam που θυμίζει την καμπάνια Nemty Ransomware Love Letter του Φεβρουαρίου.
Σου αρέσει η φωτογραφία μου;
Σε ένα κύμα από email που χρησιμοποιούν θέματα όπως τα «Σου αρέσει η φωτογραφία μου;» ή «Η νέα σου φωτογραφία;», τα οποία όμως δεν περιέχουν τίποτα άλλο από το emoji 😉 σε χαρακτήρες, διατίθεται ένα πρόγραμμα λήψης JavaScript για το ransomware Avaddon.
Σε μια σχετική αναφορά που κυκλοφόρησε, η εταιρεία ασφάλειας στον κυβερνοχώρο Appriver δήλωσε ότι το Phorphiex / Trik Botnet διανέμει τα κακόβουλα email.
Αυτή η καμπάνια δεν είναι μικρή, όπως μας είπε ο ερευνητής ασφαλείας του AppRiver, David Picket, ότι είχαν αποκλείσει πάνω από 300.000 email σε σύντομο χρονικό διάστημα.
Επισυνάπτεται σε αυτά τα email ένα αρχείο JavaScript που “μεταμφιέζεται” ως φωτογραφία JPG με ονόματα όπως IMG123101.jpg.
Τώρα αν αναρωτηθείτε γιατί κάποιος να ανοίξει ένα αρχείο JavaScript που του έχει σταλεί μέσω email, είναι σημαντικό να θυμάστε ότι τα Windows αποκρύπτουν την επέκταση αρχείου από προεπιλογή, παρόλο που είναι γνωστός κίνδυνος ασφαλείας.
Αυτό σημαίνει ότι αυτό που φαίνεται στον παραλήπτη θα είναι απλώς ένα αρχείο .jpg, όπως φαίνεται παρακάτω.
Όταν εκτελεστεί, το συνημμένο JS θα εκκινήσει μια εντολή PowerShell και Bitsadmin για να πραγματοποιήσει λήψη του Avaddon ransomware που μπορεί να εκτελεστεί στο φάκελο %Temp% και να το εκτελέσει.
Στο δείγμα που δοκιμάστηκε από το BleepingComputer, μόλις εκτελεστεί, το ransomware θα αναζητήσει δεδομένα για κρυπτογράφηση και να προσθέσει την επέκταση .avdn σε κρυπτογραφημένα αρχεία.
Σε κάθε φάκελο, ένα note λύτρων που ονομάζεται [id]-readme.html θα δημιουργηθεί. Αυτή η σημείωση λύτρων περιέχει έναν σύνδεσμο προς το website TOR και ένα μοναδικό αναγνωριστικό θύματος που χρησιμοποιείται για τη σύνδεση στο website.
Αυτός το website πληρωμής TOR περιλαμβάνει το ποσό λύτρων και οδηγίες σχετικά με τον τρόπο πληρωμής για έναν decryptor.
Άλλα sections του TOR website περιλαμβάνουν ένα support chat, μια δωρεάν δοκιμαστική αποκρυπτογράφηση και μια σελίδα βοήθειας που «στολίζεται» από χαρακτήρες του Harry Potter.
Δυστυχώς, ο Michael Gillespie ανέλυσε το ransomware και δήλωσε ότι είναι ασφαλές και δεν μπορεί να αποκρυπτογραφηθεί δωρεάν.
Σε διαφημίσεις που δημοσιεύτηκαν σε ρωσόφωνα hacking forum στις αρχές του μήνα, ο Avaddon δήλωσε ότι είναι ένα νέο πρόγραμμα Ransomware-as-an-Affiliate (RaaS).
Αυτό σημαίνει ότι ο δημιουργός του ransomware είναι υπεύθυνος για την ανάπτυξη του malware και τη λειτουργία του website πληρωμής TOR.
Οι συνεργάτες που συμμετέχουν στο πρόγραμμα είναι υπεύθυνοι για τη διανομή του ransomware μέσω spam, compromise δικτύων και exploit kits.
Στο πλαίσιο αυτής της συμφωνίας, η Avaddon πληρώνει σε συνεργάτες το 65% των λύτρων που φέρνουν και οι πάροχοι Avaddon θα λάβουν το 35%. Οι μεγαλύτεροι συνεργάτες είναι συνήθως σε θέση να διαπραγματευτούν ένα υψηλότερο μερίδιο εσόδων ανάλογα με το μέγεθος των επιθέσεων τους.
Όπως είναι τυπικό με τα προγράμματα RaaS, το Avaddon έχει μια σειρά κανόνων που πρέπει να ακολουθούν οι συνεργάτες κατά τη διανομή του ransomware. Ο πιο κοινός κανόνας είναι ότι δεν μπορούν να στοχεύουν θύματα στο Commonwealth of Independent States (CIS).
Τώρα που οι δημιουργοί του Avaddon έχουν αρχίσει να δέχονται αιτήσεις, θα πρέπει να αναμένουμε να δούμε αύξηση της διανομής και πιο προηγμένες επιθέσεις.
