ランサムウェア「Avaddon」運用停止。復号キーを公開

good-bye

ランサムウェア「Avaddon」を運営している犯罪グループは、2021年6月11日活動を停止し、被害者のために復号キーを公開しました。

復号キーは、2016年からランサムウェアを取材しているランサムウェアサポートフォーラムやニュースサイト「Bleeping Computer」に送られたプライベートメッセージを通じて、2021年6月11日未明に公開されました。

Avaddonは運営停止し、被害者の2934個の秘密鍵を公開したようです。公開されたEmsisoftの復号ツールは間もなくリリースされます。Avaddonにお金を払わないようにしましょう。被害者の方で、ご自身のファイルが復号できるかどうか知りたい方は、fw@emsisoft.com までご連絡ください。

キーが共有されたのは、あらゆる種類のランサムウェアの系統に対応した数十種類の無料の復号ユーティリティをリリースしてきたセキュリティ企業のEmsisoft社で、無料の復号ソフトをリリースする予定だと、Emsisoft社のセキュリティ研究者であるMichael Gillespie氏がThe Record社のインタビューに答えています。

この復号システムは2,934個の復号鍵を取得し、過去のAvaddon被害者がまだ暗号化されたファイルを持ち、データを削除していなければ、無料でファイルの復号を可能にするものになっています。

Avaddonはトップクラスの脅威グループだった

Avaddonのシャットダウンは突然のことであり、セキュリティの研究者たちを驚かせています。

コロニアル・パイプライン攻撃の後、ランサムウェアギャング「Darkside」が運営停止した後、Avaddonは市場で非常に積極的に動いていたと、ランサムウェアの運用を追跡しているRecorded Future社のセキュリティアナリストであるアラン・リスカ氏は語っています。

ランサムウェアグループ「DarkSide」消滅か。サーバーが押収、運営停止。身代金を返金予定

Avaddonは、Colonial Pipeline攻撃以降に公開されたランサムウェアによるランサム事件の件数でContiと並んでいました。5月7日以降に公開された被害者は59件、2020年8月になってからの合計は182件に登っています。」とリスカ氏は語っています。

このグループは、コロニアル・パイプライン攻撃の前からも極めて活発に活動しており、今年に入ってからほぼ毎週のようにシステムに侵入し、Avaddonで暗号化されたファイルやランサムノートをID-Ransomwareサービスに事件が報告されていました。

Avaddonの急激な攻撃の増加により米国連邦捜査局やオーストラリアのサイバーセキュリティセンターも、5月の初めに増え続ける侵入について注意喚起を行ったばかりでした、

本当の運営停止かか、それとも単なるリブランディングか?

しかし、2021年6月11日未明、Avaddonはサーバーとダークウェブのリークサイトを閉鎖し、ハッキングフォーラムでのプロファイルを消去した上で、Bleeping Computer社に復号鍵を送付しました。

他のランサムウェアのグループの活動停止とは異なり、Avaddonは完全に消滅したかのように思われています。

セキュリティ業界では、NemtyからNefilim、GandcrabからREvilなど、多くのグループが行ってきたリブランディングの段階に入ったのではないかという説が有力です。

また、コロニアル・パイプライン攻撃の直後、Avaddonは侵入のために選ばれたサポートグループとだけ協業すると発表していました。

Avaddonにとって、再ブランド化と非公開化という動きは、現在Avaddonの動きを追跡している法執行機関やセキュリティ企業を失うための良い方法であり、閉鎖前には最も精密なRansomware-as-a-Service(RaaS)事業を運営していたことでも知られています。

Avaddonは、ExploitやXSSなどのハッキングフォーラムで広告を行い、支払いを拒否した被害者のために二重に搾取するスキームとして自動リークポータルを運営していました。

また、使いやすいRaaSポータルの1つを構築しており、復号できるバグが発見されると、1日で修正したという迅速な動きを見せていました。

Leave a Reply

Your email address will not be published.