Ransomware Avaddon, usado em ataques no Brasil, encerra atividades
Grupo de ransomware Avaddon liberou chaves de descriptografia para vítimas e fechou páginas na dark web
O Avaddon, um dos grupos de ransomware mais ativos de 2021, encerrou as suas operações na última sexta-feira (11). Além de fechar os seus sites na dark web, os invasores liberaram chaves de descriptografia para as suas vítimas. O motivo não ficou claro, mas é possível que a decisão esteja relacionada ao risco de os integrantes do grupo serem identificados por autoridades.
- JBS pagou US$ 11 milhões a hackers para evitar vazamento em ataque
- EUA vão tratar ataques de ransomware com rigor similar ao do terrorismo
A informação vem do BleepingComputer. Na manhã de sexta-feira, o site recebeu um e-mail anônimo com uma senha e um link que aponta para um arquivo ZIP de nome “Decryption Keys Ransomware Avaddon”.
Na sequência, o veículo encaminhou o arquivo a dois especialistas em segurança: Fabian Wosar, da Emsisoft, e Michael Gillespie, da Coveware. Eles confirmaram que o arquivo contém chaves de descriptografia válidas, isto é, que funcionam.
Ao todo, o arquivo contém 2.934 chaves, uma para cada vítima do Avaddon. O BleepingComputer comprovou a legitimidade delas descriptografando, com sucesso, uma máquina virtual de teste que havia sido criptografada com uma amostra do ransomware.
Para facilitar o trabalho das vítimas, a Emsisoft liberou um descriptografador gratuito baseado nessas chaves.
Decisão não foi explicada
O Avaddon não explicou a decisão de encerrar as suas atividades. No entanto, a liberação de chaves costuma ser motivada por uma de duas razões: as autoridades estão perto de identificar os integrantes do grupo, razão pela qual eles decidem se dispersar; um novo grupo vai ser formado para atuar com outro ransomware.
Além disso, o grupo tampouco liberou um comunicado para confirmar a paralisação definitiva de suas operações, mas essa possibilidade é bastante factível, por duas razões.
A primeira é que, à medida que atividades de ransomwares avançam, aumenta a atenção que autoridades de várias partes do mundo direcionam ao assunto, o que torna as ações dos invasores mais arriscada. A segunda é o fato de o Avaddon ter aceitado propostas de vítimas para pagamento de resgate com pouca ou nenhuma negociação, um sinal de urgência que não é típico desse grupos.
Avaddon fez vítimas no Brasil
Ataque do Avaddon ao Grupo Meddi (imagem: reprodução)
O Avaddon seguia um modelo de operação que está em alta: o Ransomware as a Service. Nele, o grupo cria uma espécie de programa de afiliados para recrutar parceiros que efetuam ataques com o seu ransomware e, em caso de sucesso, fica com uma porcentagem dos resgates obtidos por eles.
Graças a esse modo de atuação, o grupo tinha mais facilidade para alvejar organizações em várias partes do mundo. O Brasil não é exceção. No país, sabe-se da existência de pelo menos duas vítimas: a prefeitura de Saquarema, no Rio de Janeiro, e o Grupo Meddi, que opera uma rede de laboratórios de exames médicos na Bahia.
Para pressionar a vítima a pagar o resgate o quanto antes, o grupo Avaddon não só bloqueava sistemas por meio de criptografia como ameaçava divulgar dados sigilosos na dark web com um relógio de contagem regressiva na página em que exibiam o aviso.
Não raramente, o grupo também ameaçava efetuar ataques DDoS contra o site da vítima para apressar o pagamento do resgate.
