勒索团伙追踪:Avaddon的发展历程
背景
近期,深信服威胁情报团队通过对外部情报监控发现,全球范围内超过250家企业正在遭受内部文件被勒索团伙窃取后在暗网公开二次威胁。Avaddon勒索团伙就是其中一个典型。
深信服千里目安全实验室对这个勒索团伙有过深度分析,具体见6月发表的《深度分析阿瓦顿(Avaddon)勒索软件》。情报监控发现,截至9月初,该团伙已成功攻击2家美国企业和1家美国院校,并在勒索未果后,在暗网上公开其敏感文件。通过情报还发现,Avaddon勒索团伙的攻击目标亦包含中国,已有小部分国内企业受到影响,且不排除未来扩大影响的可能。
本文将通过梳理新型勒索团伙Avaddon的发展历程,并分析其在国内的影响情况,以帮助大家更好的了解和防范此勒索团伙。
进击的Avaddon团伙
01
单打独斗已过去,RaaS服务是未来
2020年6月2日,Avaddon团伙首现于某俄罗斯黑客论坛,所开发的Avaddon勒索软件除了供自身使用之外,也通过提供勒索即服务(RaaS, Ransomware as a Service)谋求外部合作以窃得更大的利益。
Avaddon勒索软件具备如下功能特点:
🔹C++编写,使用WinAPI,无第三方依赖
🔹支持Windows7以上版本
🔹文件加密算法:AES256 + RSA2048
🔹支持IOCP异步通知机制
🔹支持内网扫描,如SMB扫描、DFS扫描
🔹使用PowerShell的无文件落地
🔹反检测机制,设置注册表来绕过UAC,并提升为管理员权限
🔹加密的文件扩展名包括:MS Office文档、PDF、文本、数据库、图像文件和音频文件等等
Avaddon勒索软件更新迭代时间线:
另外,还有两个值得关注的点:
1. 该团伙规定合作方(使用Avaddon RaaS服务)不得在独立国家联合体的成员国分发勒索软件,包括:俄罗斯联邦、白俄罗斯共和国、摩尔多瓦共和国、亚美尼亚共和国、阿塞拜疆共和国、塔吉克斯坦共和国、吉尔吉斯斯坦共和国、哈萨克斯坦共和国、乌兹别克斯坦共和国。结合该Avaddon勒索团伙只接受俄语合作方,由此可见Avaddon的攻击者均来自于俄语国家。
2. 勒索面板支持中文显示,说明我国是该Avaddon勒索团伙计划攻击的区域。除此之外还支持英语、德语、法语、意大利语、西班牙语、葡萄牙语、日语和韩语。
02
Avaddon的发家之路
Avaddon勒索团伙为了谋取更多的利益,会与其他成熟的黑产团伙合作,根据深信服威胁情报关联数据,我们发现其中包括臭名昭著的Phorpiex僵尸网络团伙。部分Avaddon勒索软件通过217.8.117.63下发到受害者主机,而实际上217.8.117.63为Phorpiex僵尸网络。如下所示:
该模式为典型的AaaS(Access as a Service,访问即服务),即Avaddon勒索团伙通过其他黑产团伙提供肉鸡访问权限来扩大勒索面,从而谋取更多的利益。
其合作方画像如下:
Avaddon合作方画像 | |
基本要求 | 第一语言为俄语 |
需要提供地理区域 | |
拥有可以安装勒索软件的肉鸡集群 | |
熟悉网络营销推广 | |
负责内容 | 负责通过垃圾邮件、漏洞利用等方式下发Avaddon勒索软件 |
分成情况 | 合作方能分到65%-70%的赎金, Avaddon团伙分到35%-30%的赎金, 赎金不等,数百至数千美金 |
合作红线 | 不得在独立国家联合体的成员国分发勒索软件 |
03
暗流涌动,勒索数据泄露频频发生
自2019年Megacortex勒索家族开创勒索软件窃取数据二次威胁的先河后,Avaddon勒索团伙也沿用此模式来威胁受害者缴纳赎金。
据统计,已有两家美国企业和1家美国院校被Avaddon勒索团伙在暗网上公开私密性较高的文件,其中包括:私人赎金、驾照信息、保险信息、客户信息和项目档案等等。具体下图所示:
据暗网情报监控,除Avaddon勒索团伙外,至少还有13家勒索家族团伙也在暗网上公开敏感文件,涉及250家以上的受害企业。各个勒索团伙公开的受害企业名数据的统计情况如下:
通过公开敏感文件的受害企业区域分布分析,勒索团伙热衷攻击于攻击美国企业,而从受害企业的行业分布来看,勒索团伙并未有明显的行业倾向性。
04
小结
综合以上内容,我们可以得到的Avaddon勒索团伙画像:
勒索团伙画像 | |
名称 | Avaddon |
别称 | 阿瓦顿 |
简介 | 新型的勒索家族,背后有专业的运营团队,其攻击目标包括中国、非独立国家联合体,目标行业包括教育行业、制造业等等,其目的为加密企业数据,获取经济利益。该团伙主要通过第三方传播渠道进行扩散,如Phorpiex僵尸网络。 |
背景 | 俄罗斯黑客组织 |
活跃时间 | 2020年6月2日至今 |
目标区域 | 1.母语为中文、英语、德语、法语、意大利语、西班牙语、葡萄牙语、日语和韩语的区域 |
目标行业 | 教育行业、制造业等等 |
攻击手法 | 通过第三方传播渠道下发勒索软件到受害者,具体如 ①分发垃圾邮件; ②受害者点击由JavaScript下载器伪装的图片; ③下发勒索软件到指定路径,并运行勒索软件 |
攻击目的 | 敲诈勒索,窃取机密文档,获取经济利益 |
Avaddon已登陆,国内企业需保持警惕
通过威胁情报关联,我们发现Phorpiex僵尸网络团伙为Avaddon勒索团伙的合作方,其合作模式为:Phorpiex僵尸网络向各地分发携带恶意JavaScript代码的垃圾邮件,最后通过BITSadmin命令下载并执行Avaddon勒索软件。
据深信服安全云脑统计,Phorpiex僵尸网络在国内已有较多的感染主机,从深信服安全设备拦截到的恶意流量数据来看,广东、上海、江苏、浙江等经济较发达地区是主要目标,其它省份也受到不同程度的影响,如下图所示:
总结
勒索软件产业发展至今,勒索软件RaaS服务与“肉鸡”出售AssA服务相结合已然形成趋势,导致勒索软件攻击的门槛和成本降低,攻击效率提升,影响范围扩大,并带来以下启示:
企业内网中的僵尸网络主机可能存在更大的潜在安全风险。如果没有及时处理内网中的僵尸网络主机,导致的不仅仅是僵尸网络病毒在内网的持续扩散,且越来越多的“肉鸡”也必将带来更大的数据泄露以及勒索的风险;
因勒索未果而演变的信息泄漏事件将会越来越多,勒索团伙获得数据后的处理手段也会越来越激进,更多的企业会因为担心数据泄露而交赎金,如得不到有效控制,整个勒索软件黑色产业发展也会继续壮大。
为了应对愈发成熟的勒索黑产团伙,企业内部需要更多的了解黑客团伙攻击各阶段的威胁情报,以争取更多的主动权。借助威胁情报,企业可以更好的了解到各个攻击团伙所使用的攻击手段,感知到黑客攻击所处的各个阶段,再通过安全设备进行防御和拦截,最后按照提供的处置建议对设备中的威胁进行清除,加固网络环境。
解决方案
深信服安全产品解决方案
深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:
1.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:
🔹64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
🔹32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
3. 深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;
4. 深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
加固建议
1. 使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;
2. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;
3. 定期使用安全软件进行全盘扫描和处置,定期检测系统漏洞并且进行补丁修复。
咨询与服务
您可以通过以下方式联系我们,获取关于该勒索病毒的免费咨询及支持服务:
1、拨打电话400-630-6430转6号线(已开通勒索软件专线);
2、关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询;
3、PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询。