Le groupe de ransomware Avaddon, l’un des groupes de ransomware les plus productifs en 2021, a annoncé qu’il cessait ses activités et fournissait à des milliers de victimes un outil de décryptage gratuit.
Lawrence Abrams de BleepingComputer affirme avoir reçu un e-mail anonyme contenant un mot de passe et un lien vers un fichier ZIP nommé « Decryption Keys Ransomware Avaddon ».
Le fichier contenait les clés de décryptage de 2 934 victimes du ransomware Avaddon. Ce chiffre étonnant illustre le fait que de nombreuses organisations ne révèlent jamais d’attaques : certains articles n’attribuaient auparavant que 88 attaques au groupe Avaddon.*
Le Bleeping Computer quotidien en ligne a collaboré avec Emisoft pour créer un dispositif de décryptage gratuit que toute victime d’Avaddon peut utiliser pour retrouver l’accès à ses données.
Fabian Wosar ajoute que les personnes derrière Avaddon ont probablement gagné assez d’argent sur les ransomwares pour qu’elles n’aient aucune raison de continuer. Les revendeurs de rançons ont remarqué quelque chose d’urgent dans leurs négociations avec les opérateurs d’Avaddon ces dernières semaines, a-t-il déclaré. Le groupe a donné après « instantanément au cours des deux derniers jours de modestes contre-offres ». « Cela suggère donc qu’il s’agissait d’un arrêt et d’une fermeture des opérations planifiés et que cela n’a pas surpris les personnes impliquées », explique-t-il.
Les données de RecordedFuture montrent qu’Avaddon est responsable de près de 24% de tous les incidents de ransomware depuis l’attaque du Colonial Pipeline en mai. Le rapport sur les ransomwares d’eSentire indique qu’Avaddon a été vu pour la première fois en février 2019 et fonctionne sur un modèle de ransomware en tant que service, où les développeurs de logiciels donnent aux filiales un pourcentage négociable de 65% de toutes les rançons.
« Les membres du groupe Avaddon devraient également offrir à leurs victimes une assistance et des ressources 24h/24 et 7j/7 pour acheter des bitcoins, tester les fichiers pour le décryptage et d’autres défis qui peuvent empêcher les victimes de payer la rançon », indique le rapport. Ce qui est intéressant à propos de ce groupe de ransomwares, c’est la conception de leur site de blog Dark Web. Non seulement ils prétendent fournir une archive complète des documents de leurs victimes, mais ils disposent également d’un compte à rebours indiquant le temps qu’il reste à chaque victime pour payer. Et pour mettre encore plus de pression sur leurs victimes, ils menacent de lancer des DDoS sur leur site web s’ils n’acceptent pas de payer immédiatement. «
Lawrence Abrams a travaillé avec Fabian Wosar, CTO d’Emsisoft, et Michael Gillespie de Coveware pour vérifier les fichiers et les clés de déchiffrement. Emsisoft a créé un outil gratuit que les victimes d’Avaddon peuvent utiliser pour décrypter leurs fichiers.
Les groupes de ransomware – comme ceux derrière Crysis, AES-NI, Shade, FilesLocker, Ziggy – ont parfois publié des clés de déchiffrement et ont cessé leurs activités pour diverses raisons. Un outil de décryptage Avaddon gratuit a été publié par un étudiant en Espagne en février, mais le groupe a rapidement mis à jour son logiciel malveillant pour le rendre à nouveau infaillible.
« Cette situation n’est pas nouvelle et n’est pas sans précédent. « Plusieurs acteurs malveillants ont publié la base de données de clés ou les clés principales lorsqu’ils ont décidé de mettre fin à leurs opérations », a déclaré Fabian Wosar à ZDNet. « En fin de compte, la base de données clé que nous avons reçue suggère qu’ils ont eu au moins 2 934 victimes. Étant donné que la rançon moyenne d’Avaddon est d’environ 600 000 $ et que les taux de paiement moyens pour les ransomwares, vous pouvez probablement obtenir une estimation décente de ce qu’Avaddon a généré. «