Comunicados CCN-CERT

Análisis del código dañino Avaddon

  • Este nuevo documento está disponible en la parte pública del portal del CCN-CERT.
  • El ransomware Avaddon ha estado involucrado en múltiples campañas orquestadas por diversos atacantes desde junio de 2020 a través del modelo de negocio Ransomware-as-a-Service.
  • En el Informe Código Dañino CCN-CERT ID-28/20 se ofrecen las características más destacables de Avaddon, su procedimiento de infección y cifrado, así como una regla de detección YARA.

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-28/20 “Avaddon”, en el que se recoge el análisis de una muestra de este ransomware.

Avaddon es un ransomware que ha estado desde junio de este año involucrado en múltiples campañas orquestadas por diversos atacantes. Una de ellas tuvo lugar el pasado 4 de julio, cuando se identificaron diversas campañas de spam en las que se utilizaba la botnet Phorpiex/Trik como vía de entrada para distribuir Avaddon entre otros códigos dañinos.

El modelo de negocio que emplea este ransomware es el conocido como RaaS (Ransomware-as-a-Service), según el cual los autores del malware se encargan de su desarrollo y la operativa del servicio de pago vía Tor, mientras que los afiliados que se unan al programa se encargan de su distribución (mediante spearphishing, exploit-kits, etc.) a cambio de un porcentaje del dinero recaudado en los rescates.

Algunos de las principales características de Avaddon es que está desarrollado en C++, que emplea AES256 junto con RSA2028 para cifrar los ficheros de las víctimas, que no requiere de conectividad a Internet para ejecutar sus acciones dañinas y que antes de comenzar a cifrar los ficheros desactiva las shadow copies y elimina las copias de seguridad del sistema. Además, tiene capacidad para infectar unidades de red, dispositivos extraíbles, así como otras unidades montadas en el sistema de la víctima.

CCN-CERT (24/09/2020)

Informe Código Dañino CCN-CERT ID-28/20 “Avaddon”

 

Ministerio de Defensa
CNI
CCN
CCN-CERT