O Avaddon é um dos ransomwares mais perigosos e mais ativo em 2021. Entretanto, na última sexta-feira (11), o grupo responsável pelo malware fechou seus sites na dark web e liberou as chaves de descriptografia para suas vítimas. Não houve nenhum comunicado oficial por parte do grupo, mas acredita-se que o fim das atividades seja por que as autoridades estão perto de descobrir quem são os integrantes do grupo.
Fim das atividades de grupo hacker
A notícia foi dada pelo site estrangeiro BleepingComputer, que na sexta-feira recebeu um e-mail anônimo com um arquivo ZIP protegido por uma senha. O nome do arquivo já é bem revelador: Decryption Keys Ransomware Avaddon.
Depois disso, o arquivo em questão foi enviado para dois especialistas em segurança. Fabian Wosar, da Emsisoft, e Michael Gillespie, da Coveware. Ambos constataram que o arquivo contém chaves de descriptografia válidas.
/@/static/wp/2021/06/14/zip-folder.jpg)
No total, o arquivo zipado possui 2.934 chaves de descriptografia. Ou seja, uma para cada vítima do Avaddon. Os especialistas em segurança conseguiram descriptografar uma máquina virtual de testes. Ela havia sido criptografada com uma amostra do Avaddon. E, para facilitar o trabalho das vítimas desse ransomware, a empresa Emsisoft criou um descriptografador baseado nas chaves enviadas pelo grupo. O arquivo é gratuito.
Sem explicações
A decisão de encerrar as atividades do Avaddon não foi explicada. Mas, geralmente, isso ocorre por dois motivos:
- Dispersão para evitar a prisão por parte das autoridades;
- Formação de um novo grupo para trabalhar com outro ransomware.
Mas não sabemos exatamente o que motivou o desligamento do grupo. Porém, à medida que aumentam os casos de ataques por ransomware, as autoridades vão ficando mais atentas e fechando o cerco. Recentemente o governo dos Estados Unidos decidiu encarar os ataques por ransomware com a mesma seriedade de um ataque terrorista.
:upscale:():format:(png)/@/static/wp/2020/07/06/50.png?fit=scale)
Além disso, nos últimos dias, o grupo Avaddon não estava muito empenhado em negociar com suas vítimas. Muitas vezes eles aceitavam de imediato o valor proposto pela vítima ou negociavam com muita pressa, coisa que não é típica nesses grupos hackers.
Atuação no Brasil
O grupo Avaddon atuou com sucesso em vários países ao redor do globo. Inclusive no Brasil. Isso aconteceu pois o grupo tinha um modelo de negócio que ficou conhecido como Ransomware as a Service. Ou seja, eles criaram uma espécie de programa de afiliados que permitiu que várias pessoas fizessem ataques com seu ransomware. Quando a vítima pagava o resgate, o grupo ficava com uma porcentagem do valor.
No Brasil, houveram pelo menos duas vítimas do grupo Avaddon. A Prefeitura de Saquarema, cidade do interior do Rio de Janeiro, e o Grupo Meddi, que possui uma rede de laboratórios de exames médicos na Bahia.
:upscale:():format:(jpeg)/@/static/wp/2019/06/24/ransomware.jpg?fit=scale)
Mas outras empresas brasileiras também foram vítimas de ataques por outros grupos de ransomware. É o caso da JBS e do Grupo Moura, que trabalha com baterias automotivas. Em todos os casos o modus operandi é o mesmo.
Os hackers bloqueiam os sistemas informáticos da empresa com criptografia, ameaçam divulgar dados sigilosos na dark web e ainda colocam um contador regressivo no site da empresa. Tudo isso para pressionar as vítimas a pagarem o resgate o quanto antes. Sem falar nos ataques DDoS que eles faziam nos servidores das vítimas.
Fonte: BleepingComputer
Veja também
Sobre o Autor
Deixe seu comentário