Ransomware Avaddon, usado em ataques no Brasil, encerra atividades

Grupo de ransomware Avaddon liberou chaves de descriptografia para vítimas e fechou páginas na dark web

Emerson Alecrim
• Atualizado há 3 anos
Globant tem dados vazados pelo Lapsus$ (imagem ilustrativa: Ashna/PixaHive)
Ataque de ransomware (imagem ilustrativa: Ashna/PixaHive)

O Avaddon, um dos grupos de ransomware mais ativos de 2021, encerrou as suas operações na última sexta-feira (11). Além de fechar os seus sites na dark web, os invasores liberaram chaves de descriptografia para as suas vítimas. O motivo não ficou claro, mas é possível que a decisão esteja relacionada ao risco de os integrantes do grupo serem identificados por autoridades.

A informação vem do BleepingComputer. Na manhã de sexta-feira, o site recebeu um e-mail anônimo com uma senha e um link que aponta para um arquivo ZIP de nome “Decryption Keys Ransomware Avaddon”.

Na sequência, o veículo encaminhou o arquivo a dois especialistas em segurança: Fabian Wosar, da Emsisoft, e Michael Gillespie, da Coveware. Eles confirmaram que o arquivo contém chaves de descriptografia válidas, isto é, que funcionam.

Ao todo, o arquivo contém 2.934 chaves, uma para cada vítima do Avaddon. O BleepingComputer comprovou a legitimidade delas descriptografando, com sucesso, uma máquina virtual de teste que havia sido criptografada com uma amostra do ransomware.

Para facilitar o trabalho das vítimas, a Emsisoft liberou um descriptografador gratuito baseado nessas chaves.

Decisão não foi explicada

O Avaddon não explicou a decisão de encerrar as suas atividades. No entanto, a liberação de chaves costuma ser motivada por uma de duas razões: as autoridades estão perto de identificar os integrantes do grupo, razão pela qual eles decidem se dispersar; um novo grupo vai ser formado para atuar com outro ransomware.

Além disso, o grupo tampouco liberou um comunicado para confirmar a paralisação definitiva de suas operações, mas essa possibilidade é bastante factível, por duas razões.

A primeira é que, à medida que atividades de ransomwares avançam, aumenta a atenção que autoridades de várias partes do mundo direcionam ao assunto, o que torna as ações dos invasores mais arriscada. A segunda é o fato de o Avaddon ter aceitado propostas de vítimas para pagamento de resgate com pouca ou nenhuma negociação, um sinal de urgência que não é típico desse grupos.

Avaddon fez vítimas no Brasil

Ataque do Avaddon ao Grupo Meddi (imagem: reprodução)

Ataque do Avaddon ao Grupo Meddi (imagem: reprodução)

O Avaddon seguia um modelo de operação que está em alta: o Ransomware as a Service. Nele, o grupo cria uma espécie de programa de afiliados para recrutar parceiros que efetuam ataques com o seu ransomware e, em caso de sucesso, fica com uma porcentagem dos resgates obtidos por eles.

Graças a esse modo de atuação, o grupo tinha mais facilidade para alvejar organizações em várias partes do mundo. O Brasil não é exceção. No país, sabe-se da existência de pelo menos duas vítimas: a prefeitura de Saquarema, no Rio de Janeiro, e o Grupo Meddi, que opera uma rede de laboratórios de exames médicos na Bahia.

Para pressionar a vítima a pagar o resgate o quanto antes, o grupo Avaddon não só bloqueava sistemas por meio de criptografia como ameaçava divulgar dados sigilosos na dark web com um relógio de contagem regressiva na página em que exibiam o aviso.

Não raramente, o grupo também ameaçava efetuar ataques DDoS contra o site da vítima para apressar o pagamento do resgate.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.