Upozornění na probíhající kampaň ransomwaru Avaddon

Upozorňujeme na probíhající kampaň útočníků provozujících ransomware Avaddon, kteří aktivně cílí na české firmy a organizace napříč sektory. Kromě zašifrování souborů ransomwarem v nakaženém systému útočníci také exfiltrují množství dat oběti. Část těchto dat zveřejní na své stránce na dark webu, aby oběť motivovali k platbě výkupného za dešifrování a nezveřejnění svých dat.

Pokud oběť nezaplatí požadované výkupné do předem dané doby, útočníci obvykle zveřejní zbytek dat. Mezi zveřejněnými daty na jejich stránkách jsou často citlivé firemní informace (smlouvy, účetnictví), citlivé osobní informace o zaměstnancích a klientech a případně i data osobního charakteru (fotografie).
Spolu s výhrůžkou zveřejnění dat útočníci rovněž uvádějí, že mají schopnost provádět DDoS útoky na webové stránky napadených obětí.

Mezi nejčastější vektory útoku útočníků patří slabě zabezpečené vzdálené přístupy (RDP a VPN) do sítí organizace. Často se jedná o přístupy s jednofaktorovou autentizací nebo špatně nakonfigurované přístupy. Dalším obvyklým vektorem je phishingový e-mail nebo spam se škodlivou přílohou v podobě JavaScript souboru.
Avaddon je provozovaný na principu „ransomware jako služba“ (Ransomware-as-a-Service, RaaS) a prvotní motivací jeho provozovatelů a jejich „zákazníků“ (tzn. dalších kyberkriminálních aktérů) je finanční zisk.

Důrazně doporučujeme neplatit požadované výkupné, jelikož neexistuje záruka, že útočníci dešifrují zašifrované soubory, ani že nezveřejní data oběti.
V případě napadení ransomwarem důrazně doporučujeme informovat Policii ČR a také NÚKIB na e-mailové adrese cert.incident@nukib.cz.

Doporučení pro prevenci, mitigaci a reakci na napadení vašeho systému ransomwarem naleznete zde: pdfRansomware - Doporučení pro mitigaci, prevenci a reakci 

Více informací a naleznete také na:
https://www.cyber.gov.au/acsc/view-all-content/advisories/2021-003-ongoing-campaign-using-avaddon-ransomware 

Indikátory kompromitace spojené s ransomwarem Avaddon (SHA256):
61126de1b795b976f3ac878f48e88fa77a87d7308ba57c7642b9e1068403a496
29b5a12cda22a30533e22620ae89c4a36c9235714f4bad2e3944c38acb3c5eee
146e554f0d56db9a88224cd6921744fdfe1f8ee4a9e3ac79711f9ab15f9d3c7f
2946ef53c8fec94dcdf9d3a1afc077ee9a3869eacb0879cb082ee0ce3de6a2e7
0ff4058f709d278ed662719b9627618c48e7a656c59f6bfecda9081c7cbd742b
165c5c883fd4fd36758bcba6baf2faffb77d2f4872ffd5ee918a16f91de5a8a8
46a8c1e768f632d69d06bfbd93932d102965c9e3f7c37d4a92e30aaeca905675
331177ca9c2bf0c6ac4acd5d2d40c77991bb5edb6e546913528b1665d8b501f3
28adb5fa487a7d726b8bad629736641aadbdacca5e4f417acc791d0e853924a7
5252cc9dd3a35f392cc50b298de47838298128f4a1924f9eb0756039ce1e4fa2
0a052eff71641ff91897af5bdecb4a98ed3cb32bcb6ff86c4396b1e3ceee0184


MITRE ATT&CK techniky ransomwaru Avaddon:
T1190 (Exploit Public-Facing Application)
 https://attack.mitre.org/techniques/T1190/
T1219 (Remote Access Software)
 https://attack.mitre.org/techniques/T1219/
1486 (Data Encrypted for Impact)
 https://attack.mitre.org/techniques/T1486/
T1005 (Data from Local System)
 https://attack.mitre.org/techniques/T1005/
T1499 (Endpoint Denial of Service)
 https://attack.mitre.org/techniques/T1499/
T1498 (Network Denial of Service)
 https://attack.mitre.org/techniques/T1498/
T1490 (Inhibit System Recovery)
 https://attack.mitre.org/techniques/T1490/
T1498.001 (Direct Network Flood)
 https://attack.mitre.org/techniques/T1498/001/
T1486 (Data Encrypted for Impact)
 https://attack.mitre.org/techniques/T1486/
T1070.004 (File Deletion)
 https://attack.mitre.org/techniques/T1070/004/
T1120 (Peripheral Device Discovery)
 https://attack.mitre.org/techniques/T1120/
T1202 (Indirect Command Execution)
 https://attack.mitre.org/techniques/T1202/
T1566 (Phishing)
 https://attack.mitre.org/techniques/T1566/
T1562.001 (Disable or Modify Tools)
 https://attack.mitre.org/techniques/T1562/001/
T1078 (Valid Accounts)
 https://attack.mitre.org/techniques/T1078/
T1027 (Obfuscated Files or Information)
 https://attack.mitre.org/techniques/T1027/