一、背景

       近期，深信服威脅情報團隊透過對外部情報監控發現，全球範圍內超過250家企業正在遭受內部檔案被勒索團伙竊取後在暗網公開二次威脅。Avaddon勒索團伙就是其中一個典型。

       深信服千里目安全實驗室對這個勒索團伙有過深度分析，具體見6月發表的《深度分析阿瓦頓（Avaddon）勒索軟體》。情報監控發現，截至9月初，該團伙已成功攻擊2家美國企業和1家美國院校，並在勒索未果後，在暗網上公開其敏感檔案。透過情報還發現，Avaddon勒索團伙的攻擊目標亦包含中國，已 有小部分國內企業受到影響，且不排除未來擴大影響的可能。

       本文將透過梳理新型勒索團伙Avaddon的發展歷程，並分析其在國內的影響情況，以幫助大家更好的瞭解和防範此勒索團伙。

二、進擊的Avaddon團伙

1. 單打獨鬥已過去，RaaS服務是未來

       2020年6月2日，Avaddon團伙首現於某俄羅斯駭客論壇，所開發的Avaddon勒索軟體除了供自身使用之外，也透過提供勒索即服務（RaaS, Ransomware as a Service）謀求外部合作以竊得更大的利益。

Avaddon勒索軟體具備如下功能特點：

• C++編寫，使用WinAPI，無第三方依賴
• 支援Windows7以上版本
• 檔案加密演算法：AES256 + RSA2048
• 支援IOCP非同步通知機制
• 支援內網掃描，如SMB掃描、DFS掃描
• 使用PowerShell的無檔案落地
• 反檢測機制，設定登錄檔來繞過UAC，並提升為管理員許可權
• 加密的副檔名包括：MS Office文件、PDF、文字、資料庫、影像檔案和音訊檔案等等

Avaddon勒索軟體更新迭代時間線：

       另外，還有兩個值得關注的點：

1. 該團伙規定合作方（使用Avaddon RaaS服務）不得在獨立國家聯合體的成員國分發勒索軟體，包括：俄羅斯聯邦、白俄羅斯共和國、摩爾多瓦共和國、亞美尼亞共和國、亞塞拜然共和國、塔吉克共和國、吉爾吉斯斯坦共和國、哈薩克共和國、烏茲別克共和國。結合該Avaddon勒索團伙只接受俄語合作方，由此可見Avaddon的攻擊者均來自於俄語國家。
2. 勒索皮膚支援中文顯示，說明我國是該Avaddon勒索團伙計劃攻擊的區域。除此之外還支援英語、德語、法語、義大利語、西班牙語、葡萄牙語、日語和韓語。

2. Avaddon的發家之路

       Avaddon勒索團伙為了謀取更多的利益，會與其他成熟的黑產團伙合作，根據深信服威脅情報關聯資料，我們發現其中包括臭名昭著的Phorpiex殭屍網路團伙。部分Avaddon勒索軟體透過217.8.117.63下發到受害者主機，而實際上217.8.117.63為Phorpiex殭屍網路。如下所示：

       該模式為典型的AaaS（Access as a Service，訪問即服務)，即Avaddon勒索團伙透過其他黑產團伙提供肉雞訪問許可權來擴大勒索麵，從而謀取更多的利益。

       其合作方畫像如下：

 

 

3. 暗流湧動，勒索資料洩露頻頻發生

       自2019年Megacortex勒索家族開創勒索軟體竊取資料二次威脅的先河後，Avaddon勒索團伙也沿用此模式來威脅受害者繳納贖金。

       據統計，已有兩家美國企業和1家美國院校被Avaddon勒索團伙在暗網上公開私密性較高的檔案，其中包括：私人贖金、保險資訊和專案檔案等等。具體下圖所示：

 

       據暗網情報監控，除Avaddon勒索團伙外，至少還有13家勒索家族團伙也在暗網上公開敏感檔案，涉及250家以上的受害企業。各個勒索團伙公開的受害企業名資料的統計情況如下：

 

       透過公開敏感數的受害企業區域分佈分析，勒索團伙熱衷攻擊於攻擊美國企業，而從受害企業的行業分佈來看，勒索團伙並未有明顯的行業傾向性。

 

4. 小結

       綜合以上內容，我們可以得到的Avaddon勒索團伙畫像：

 

三、Avaddon已登陸，國內企業需保持警惕

       透過威脅情報關聯，我們發現Phorpiex殭屍網路團伙為Avaddon勒索團伙的合作方，其合作模式為：Phorpiex殭屍網路向各地分發攜帶惡意JavaScript程式碼的垃圾郵件，最後透過BITSadmin命令下載並執行Avaddon勒索軟體。

       據深信服安全雲腦統計，Phorpiex殭屍網路在國內已有較多的感染主機，從深信服安全裝置攔截到的惡意流量資料來看，廣東、上海、江蘇、浙江等經濟較發達地區是主要目標，其它省份也受到不同程度的影響，如下圖所示：

 

四、總結

       勒索軟體產業發展至今，勒索軟體RaaS服務與“肉雞”出售AssA服務相結合已然形成趨勢，導致勒索軟體攻擊的門檻和成本降低，攻擊效率提升，影響範圍擴大，並帶來以下啟示：

1. 企業內網中的殭屍網路主機可能存在更大的潛在安全風險。如果沒有及時處理內網中的殭屍網路主機，導致的不僅僅是殭屍網路病毒在內網的持續擴散，且越來越多的“肉雞”也必將帶來更大的資料洩露以及勒索的風險；
2. 因勒索未果而演變的資訊洩漏事件將會越來越多，勒索團伙獲得資料後的處理手段也會越來越激進，更多的企業會因為擔心資料洩露而交贖金，如得不到有效控制，整個勒索軟體黑色產業發展也會繼續壯大。

       為了應對愈發成熟的勒索黑產團伙，企業內部需要更多的瞭解駭客團伙攻擊各階段的威脅情報，以爭取更多的主動權。藉助威脅情報，企業可以更好的瞭解到各個攻擊團伙所使用的攻擊手段，感知到駭客攻擊所處的各個階段，再透過安全裝置進行防禦和攔截，最後按照提供的處置建議對裝置中的威脅進行清除，加固網路環境。