Negli ultimi anni, il panorama delle minacce informatiche è diventato sempre più complesso e pericoloso, con il proliferare di attacchi informatici che hanno causato danni ingenti a imprese e istituzioni di tutto il mondo.
Uno dei protagonisti di questa ondata di criminalità informatica è l’Avaddon ransomware, un malware estremamente pericoloso che ha colpito migliaia di organizzazioni, criptando i loro dati e chiedendo un riscatto per il ripristino. Questo articolo esplora la storia della minaccia Avaddon, il suo funzionamento e le conseguenze che le aziende colpite hanno dovuto affrontare. In un’epoca in cui la digitalizzazione è sempre più pervasiva, comprendere i ransomware come Avaddon è fondamentale per proteggere le risorse digitali e garantire la continuità delle attività.
- Che cos’è Avaddon ransomware
- La storia di Avaddon ransomware: l’evoluzione della tecnica di attacco
- Come si svolge un attacco del ransomware
- Quali aziende conosciute sono state colpite dal ransomware
- Come proteggersi da Avaddon ransomware e come prevenirlo
Che cos’è Avaddon ransomware
Avaddon ransomware è un malware che sfrutta tecniche avanzate per infettare i sistemi e criptare i dati delle vittime.
Ecco alcune delle principali caratteristiche tecniche di Avaddon e come è possibile riconoscerlo.
Avaddon si diffonde principalmente tramite campagne di phishing e malspam, sfruttando allegati e-mail dannosi o link ingannevoli per infettare i dispositivi. Le e-mail di phishing utilizzate da Avaddon sono spesso ingegnose, mascherandosi da comunicazioni legittime per ingannare le vittime e indurle a cliccare sugli allegati o sui link. Una volta infettato il dispositivo, Avaddon ransomware utilizza algoritmi di crittografia forti, come il AES-256 e RSA-2048, per criptare i dati dell’utente, rendendoli inaccessibili. Il ransomware è noto per la sua capacità di criptare rapidamente una vasta gamma di tipi di file, inclusi documenti, immagini, video e database.
I file crittografati da Avaddon vengono rinominati con un’estensione .avdn aggiunta al nome originale del file.
Ad esempio, un file chiamato “documento.txt” diventerebbe “documento.txt.avdn” dopo la crittografia. Questa estensione è un chiaro segnale della presenza dell’Avaddon ransomware sul sistema. La minaccia lascia un messaggio di riscatto sul computer della vittima, solitamente in un file chiamato “readme.txt” o simile. Il messaggio contiene istruzioni su come contattare gli aggressori, solitamente tramite un indirizzo e-mail o un sito web nel dark web, e informazioni sulla somma di denaro richiesta per ottenere la chiave di decrittazione.
Inoltre, Avaddon utilizza la rete Tor e la criptovaluta Bitcoin per mantenere l’anonimato e complicare l’individuazione e il tracciamento degli aggressori. Le transazioni in Bitcoin richieste per il pagamento del riscatto sono difficili da rintracciare, rendendo più sicuro il processo di estorsione per gli autori del ransomware.
La storia di Avaddon ransomware: l’evoluzione della tecnica di attacco
Avaddon ransomware è emerso nel panorama delle minacce informatiche nel giugno 2020.
Da allora, si è evoluto rapidamente, diventando una delle famiglie di ransomware più aggressive e dannose. Il ransomware è stato inizialmente scoperto da ricercatori di sicurezza informatica nel giugno 2020, quando è stato rilevato in diverse campagne di phishing e malspam. Gli attacchi erano mirati principalmente a utenti e aziende in diversi paesi, con una particolare attenzione alle organizzazioni in Europa, Nord America e Australia.
Il malware ha adottato rapidamente un modello di business as-a-Service (RaaS), che consente a criminali informatici di tutto il mondo di unirsi al progetto come affiliati. Gli affiliati sono responsabili della distribuzione del ransomware e ricevono una parte dei profitti generati dai riscatti pagati dalle vittime. Questo modello ha permesso al cryptovirus di espandersi rapidamente e di aumentare il suo impatto globale.
Oltre alle campagne di phishing e malspam, Avaddon ransomware ha iniziato a sfruttare vulnerabilità note nei sistemi e nelle applicazioni per infettare le vittime. Inoltre, il ransomware ha introdotto nuove funzionalità, come la doppia estorsione, che prevede il furto di dati sensibili prima della crittografia e la minaccia di divulgarli pubblicamente se il riscatto non viene pagato.
Nella sua evoluzione, il malware ha colpito numerose aziende e organizzazioni appartenenti a diversi settori quali sanità, istruzione e PA. Nel giugno 2021, dopo un’intensa attività, la cybergang di Avaddon ha annunciato improvvisamente la chiusura del progetto e rilasciato gratuitamente le chiavi di decrittazione per alcune delle vittime.
Come si svolge un attacco di Avaddon Ransomware
Un’analisi approfondita della struttura dell’attacco rivela che il processo si sviluppa in diverse fasi. Inizialmente, gli aggressori lanciano campagne di phishing mirate, utilizzando e-mail ingannevoli e allegati dannosi per distribuire il payload del ransomware. Spesso, il malware sfrutta exploit e vulnerabilità software non corrette per infiltrarsi nei sistemi e guadagnare accesso ai dati sensibili.
Una volta all’interno, Avaddon procede con l’implementazione di algoritmi di crittografia robusti, come AES-256 e RSA-2048, per bloccare i file delle vittime e renderli inaccessibili. Successivamente, il ransomware aggiunge l’estensione “.avdn” ai file crittografati, segnalando l’avvenuta infezione. Infine, viene rilasciata una nota di riscatto contenente istruzioni dettagliate su come effettuare il pagamento, solitamente in Bitcoin, per ottenere la chiave di decrittazione e ripristinare i dati compromessi.
Quali aziende conosciute sono state colpite dal ransomware
Diversi attacchi di Avaddon ransomware hanno colpito aziende e organizzazioni di alto profilo in vari settori.
AXA assicurazioni
Nel maggio 2021, la filiale asiatica dell’assicuratore francese AXA è stata colpita da un attacco di Avaddon. L’attacco è avvenuto poco dopo che AXA aveva annunciato che avrebbe smesso di rimborsare i clienti per i riscatti pagati ai criminali informatici.
Brenntag
Nel maggio 2021, la società chimica tedesca Brenntag è stata attaccata da Avaddon. Gli aggressori hanno chiesto un riscatto di 4,4 milioni di dollari e, secondo alcune fonti, la società ha accettato di pagare una somma ridotta per ottenere la chiave di decrittazione.
È importante sottolineare che la lista di aziende colpite da Avaddon potrebbe essere molto più lunga, poiché molte organizzazioni scelgono di non divulgare i dettagli degli attacchi informatici subiti per motivi di sicurezza e reputazione.
Come proteggersi da Avaddon ransomware e come prevenirlo
Proteggersi da Avaddon ransomware e prevenirne gli attacchi richiede una combinazione di misure tecniche, procedurali e di formazione del personale.
Ecco alcuni consigli utili e pratici che un’azienda può applicare immediatamente per migliorare la propria sicurezza:
Mantenere software e sistemi aggiornati
Assicurarsi che tutti i sistemi operativi, software e firmware siano aggiornati alle ultime versioni per prevenire l’exploit di vulnerabilità note.
Utilizzare soluzioni antivirus e antimalware
Installare e mantenere aggiornate soluzioni antivirus e antimalware affidabili su tutti i dispositivi dell’azienda, configurandole per eseguire scansioni regolari e monitorare costantemente le attività sospette.
Implementare la segmentazione di rete
Suddividere la rete aziendale in segmenti separati per limitare la diffusione di eventuali infezioni e impedire che un attacco ransomware si propaghi a tutti i sistemi.
Bloccare e filtrare le e-mail
Utilizzare filtri e-mail avanzati per bloccare e-mail sospette e potenzialmente dannose. Impostare regole per bloccare allegati e-mail comunemente utilizzati per distribuire ransomware, come file .exe, .zip o .js.
Formazione del personale
Offrire formazione regolare ai dipendenti su come riconoscere e segnalare e-mail di phishing, pratiche di sicurezza informatica e l’importanza di non aprire allegati o cliccare su link sospetti.
Pianificazione e risposta agli incidenti
Creare un piano di risposta agli incidenti informatici per affrontare gli attacchi ransomware e altri tipi di minacce. Il piano dovrebbe includere la comunicazione interna ed esterna, il recupero dei dati e la valutazione del rischio.
Limitare i privilegi di accesso
Implementare il principio del minimo privilegio, garantendo che i dipendenti abbiano solo l’accesso necessario ai dati e alle risorse dell’azienda per svolgere le loro mansioni.
Monitorare la rete
Utilizzare strumenti di monitoraggio e analisi della rete per rilevare anomalie e attività sospette che potrebbero indicare un’intrusione o un tentativo di attacco. Ad esempio, implementare un servizio di monitoraggio delle vulnerabilità (Vulnerability Assessment).
Consultare esperti di sicurezza
Collaborare con esperti di sicurezza informatica per effettuare valutazioni regolari della sicurezza, identificare potenziali vulnerabilità e migliorare continuamente le misure di protezione in atto.
Seguendo questi consigli, un’azienda può ridurre significativamente il rischio di essere colpita da Avaddon ransomware o altri tipi di minacce informatiche simili.
- Autore articolo
- Ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.
