Avaddon ransomware opérateurs ayant un aller à la double extorsion

Les opérateurs du ransomware Avaddon semblent être outillage jusqu’à mener soi-disant double extorsion cyberattaques, une tactique relativement nouvelle par laquelle les gangs cybercriminels non seulement tenir les données cryptées de leurs victimes à la rançon, mais menacent de le divulguer au grand public à moins qu’ils ne soient payés.

Les victimes de ces attaques sont déjà connues pour inclure des entreprises comme le fournisseur de technologies d’impression et d’imagerie Canon, le cabinet d’avocats grubman, la société de services Allied Universal, le groupe de recherche médicale HMR, le fournisseur d’assurance sécurité Chubb et la société d’électronique LG, entre autres.

La double tactique d’extorsion a été popularisée par les opérateurs de Maze, mais se propage maintenant à d’autres groupes criminels, et au début du mois d’août, BleepingComputer Lawrence Abrams a révélé des preuves convaincantes prétendant montrer que les opérateurs d’Avaddon avaient mis en place un site Web sombre pour divulguer publiquement des données volées à ses victimes, un labyrinthe et ReVIL / Sodinokibi.

Maintenant, Cofense Intelligence cyber threat analyste Aaron Riley a confirmé de nouveaux modèles d’attaque qui confirment le gang Avaddon est en expansion dans l’exfiltration de données.

Le ransomware a d’abord attiré l’attention en Juin 2020, quand il a été repéré frapper un large groupe de cibles via le botnet Trik via des e-mails de phishing. Comme beaucoup d’autres souches, il est exécuté comme un ransomware-as-a-service (RaaS) entreprise.

« L’exfiltration de données sensibles peut être préjudiciable à une organisation et entraîner de lourdes conséquences juridiques, financières et de réputation, c’est pourquoi les acteurs de la menace l’utilisent pour tirer parti du paiement d’extorsion », a-t-il écrit dans un nouvel avis de divulgation. « vec ces développements les plus récents, Avaddon a rejoint quelques autres familles ransomware en ajoutant l’exfiltration de données à utiliser comme levier pour les paiements d’extorsion. »

Riley a dit qu’il voyait maintenant une campagne dans laquelle Avaddon est combiné avec un voleur d’informations, suggérant fortement que ses opérateurs se préparent à faire bon usage de leur nouveau domaine web sombre. Cette campagne est en mesure d’échapper avec succès aux solutions de sécurité par courriel et cible plusieurs industries différentes, y compris l’énergie, les soins de santé, l’assurance, la fabrication, l’exploitation minière et le commerce de détail.

Un phish Typique d’Avaddon identifié par Cofense usurpe une marque d’expédition bien connue – dans ce cas FedEx. Si la cible clique sur le lien intégré malveillant qui leur est envoyé, ils téléchargeront le programme de chargeur de fumée malveillant, qui à son tour agit comme un mécanisme de livraison pour Avaddon et Racoon Stealer.

Riley a noté que compte tenu Avaddon est géré comme une entreprise RaaS, il a montré une certaine cohérence que ses opérateurs utilisent Racoon Stealer, qui est géré comme un malware-as-a-service (MaaS) pour ajouter de nouvelles fonctionnalités à leurs attaques. Il a ajouté que l’utilisation d’un échantillon MaaS pour voler des données a suggéré le gang Avaddon a la capacité de plug-and-play avec d’autres familles MaaS si elles ont besoin ou veulent.

Il a dit que les attaques à double extorsion étaient particulièrement dangereuses à l’heure actuelle parce que généralement, une organisation peut se préparer pour ransomware en étant très diligent sur ses sauvegardes de données – ce n’est évidemment plus suffisant maintenant si les données sont également volées et divulguées, et soulève également la possibilité d’une action en justice par les sujets de données et les régulateurs, ainsi que des dommages à la réputation.

« Comme Avaddon voit le succès croissant de ces efforts, nous pouvons nous attendre à ce que plus d’opérateurs de ransomware suivent, » a dit Riley. « n conclusion, nous prévoyons que la partie la plus dangereuse de ransomware pour les organisations sera bientôt l’exfiltration des données. »