Entschlüsselungscodes freigegeben
Avaddon-Ransomware schaltet sich selbst ab
Eine Cyber-Erpressergruppe verschenkt ihre Entschlüsselungscodes, so scheint es. Sie sacken aber noch schnell ihre bereits geforderten Lösegelder ein. Was steckt dahinter?
Die Avaddon-Ransomware-Gruppe hat ihren Betrieb eingestellt und den Entschlüsselungscode für ihre Opfer an „BleepingComputer.com“ freigegeben. „Nachdem ich die Dateien mit Fabian Wosar vom Anti-Malware-Anbieter Emsisoft und Michael Gillespie von Coveware, Spezialist für Incident Response and Recovery, geteilt hatte, bestätigten diese, dass die Schlüssel legitim sind. Insgesamt haben uns die Bedrohungsakteure 2.934 Entschlüsselungscode geschickt, wobei jeder Schlüssel einem bestimmten Opfer entspricht“, erzählt Lawrence Abrams in seinem Beitrag.
Es kommt selten vor, aber es kommt vor: In der Vergangenheit haben Ransomware-Gruppen Entschlüsselungscodes an Security-Forschende als Geste des guten Willens herausgegeben. So wurden etwa Codes für „TeslaCrypt“, „Crysis“, „AES-NI“, „Shade“, „FilesLocker“, „Ziggy“ und „FonixLocker“ veröffentlicht.
Avaddon startete seine Operation im Juni 2020 durch eine Phishing-Kampagne, die einen zwinkernden Smiley enthielt. Im Laufe der Zeit hat sich Avaddon zu einer der größeren Ransomware-Operationen entwickelt. Das FBI und die australischen Strafverfolgungsbehörden haben kürzlich Hinweise zu dieser Gruppe veröffentlicht.
Derzeit sind keinerlei Tor-Seiten von Avaddon zugänglich, was darauf hindeutet, dass die Ransomware-Operation wahrscheinlich eingestellt wurde.
Nur noch schnell kassieren
Außerdem beobachteten Ransomware-Verhandlungsfirmen und Incident-Responder in den letzten Tagen einen Ansturm von Avaddon, um die Lösegeldzahlungen von bestehenden unbezahlten Opfern abzuschließen. Coveware-CEO Bill Siegel hat gegenüber »BleepingComputer« gesagt, dass die durchschnittliche Lösegeldforderung von Avaddon bei etwa 600.000 US-Dollar liege.
In den letzten Tagen hat Avaddon die Opfer jedoch zur Zahlung gedrängt und das letzte Gegenangebot ohne Gegenwehr akzeptiert, was laut Siegel abnormal sei. Zudem sind sich Security-Experten und Behörden einig, dass Lösegeldforderungen besser nicht nachgegeben werden sollte.
Bekommen die Hacker nun Angst?
Nicht bekannt ist, warum Avaddon den Betrieb eingestellt hat. Möglich ist, dass der erhöhte Druck und die Überprüfung durch Strafverfolgungsbehörden und Regierungen weltweit nach den jüngsten Angriffen auf kritische Infrastrukturen, die Hacker vorsichtiger werden lassen. „Die jüngsten Aktionen der Strafverfolgungsbehörden haben einige Bedrohungsakteure nervös gemacht: Das ist das Ergebnis. Eine Bedrohung ist nun vorbei und wir hoffen, dass weitere Ransomware-Aktivitäten eingestellt werden“, sagt Brett Callow, Analyst bei »Emsisoft«, gegenüber »BleepingComputer«.
Mit den jüngsten Angriffen auf die Colonial Pipeline und den Fleischkonzern JBS ist Ransomware zu einer Priorität der US-Regierung geworden. Weil man davon ausgeht, dass die meisten größeren Ransomware-Operationen in Russland oder anderen GUS-Staaten durchgeführt werden, will US-Präsident Biden diese Angriffe mit dem russischen Präsidenten Vladimir Putin auf dem Genfer Gipfel am 16. Juni 2021 besprechen.
Lesen Sie mehr zum Thema
