De levensgevaarlijke ransomwarevariant Avaddon heeft wereldwijd veel slachtoffers gemaakt. Onlangs beloofden de verantwoordelijke cybercriminelen te stoppen met de aanvallen en gaven ze decryptiesleutels vrij. Goed nieuws, maar volgens KPN Security blijft waakzaamheid geboden. De werkwijze bleek namelijk verrassend effectief, en kan een inspiratie vormen voor nieuwe ransomwarevarianten.
Wat is Avaddon?
Avaddon was een zeer gevaarlijke ransomwarevariant. Deze malware bestaat al sinds 2019, maar is het laatste jaar sterk doorontwikkeld en werd op grote schaal ingezet. Avaddon is een vorm van ransomware-as-a-service (RaaS), waarbij de ontwikkelaars niet zelf de aanvallen uitvoerden. In plaats daarvan besteedden ze het besmetten van systemen uit aan zogeheten ‘affiliates’. Deze partners, vaak ervaren cybercriminelen die zorgvuldig zijn geselecteerd, kregen een deel van het betaalde losgeld.
Dit verdienmodel was voor beide partijen interessant. De risico’s van de activiteiten werden gespreid, evenals de opbrengsten. Zowel de malwaremaker als de cybercrimineel kon zich focussen op zijn eigen expertise.
De criminele groepering achter Avaddon gaf in het tweede weekend van juni 2021 verrassend genoeg aan de handdoek in de ring te gooien. Ze kondigden aan te stoppen met de gevreesde aanvallen. Bovendien gaven ze 2934 decryptiesleutels vrij. Daarmee kunnen getroffen organisaties hun data herstellen.
'Benieuwd naar de laatste trends op het gebied van ransomware? Lees dan het blog Ransomware-update: dit zijn de laatste trends.'
Waarom is de groep achter Avaddon gestopt met de aanvallen?
Dat weten we niet zeker. Er kunnen voor cybercriminelen allerlei redenen zijn om te stoppen met hun activiteiten. Denk aan onderlinge conflicten, of angst voor vervolging. Het kan ook zijn dat ze hun technologie en methoden hebben verkocht aan een andere partij.
Waarom moeten we ondanks het goede nieuws toch waakzaam blijven?
Het kan dus zijn dat cybercriminelen de technologie achter Avaddon overgekocht hebben. In dat geval bestaat de kans dat nieuwe ransomwarevarianten opduiken die werken volgens soortgelijke aanvalsmethoden. Ook kunnen andere groeperingen geïnspireerd zijn geraakt door de methoden waarmee Avaddon te werk ging en zelf nieuwe ransomwaretechnologie ontwikkeld hebben.
Hoewel het directe gevaar van Avaddon nu geweken lijkt, is het dus niet ondenkbaar dat soortgelijke ransomware binnenkort weer toeslaat. Daarnaast blijft ransomware in het algemeen een van de belangrijkste cyberdreigingen van dit moment.
Wat maakte Avaddon zo gevaarlijk?
Avaddon had een aantal bijzondere kenmerken. Allereerst maakte deze malware gebruik van moderne technieken om detectie te vermijden. Zo bleef Avaddon na de initiële besmetting eerst een paar weken inactief. In deze periode werden het volledige netwerk en de back-ups in kaart gebracht. Daarna werden de data gestolen en gaat de ransomware over tot versleuteling. De criminelen dreigden vervolgens om de data te lekken via het darkweb. De cybercriminelen verdiende bij een aanval naar verluidt bedragen variërend tussen zo’n 40.000 en 600.000 Amerikaanse dollar.
Avaddon hanteerde voor deze afpersing een stapsgewijze methode. Eerst ontving het slachtoffer een waarschuwing dat de data gestolen zijn. Na een termijn van 3 tot 5 dagen werd 5 procent van de data gelekt op het darkweb. Dan kreeg het slachtoffer nogmaals 3 tot 5 dagen de tijd om het losgeld te betalen. Gebeurde dat niet, dan werden alle data openbaar gemaakt.
Het KPN Security Research Team deed de afgelopen tijd onderzoek naar Avaddon. “Het viel ons op dat de makers extra hun best deden om analyse van de ransomware te bemoeilijken”, zegt Jordi Scharloo, securityonderzoeker bij KPN Security. “Op een gegeven moment zat er een kwetsbaarheid in de malware. Zo’n kwetsbaarheid bood onderzoekers de mogelijkheid om een tool te ontwikkelen voor het ontsleutelen van data. Al na een dag was dit lek gedicht. Dat is uitzonderlijk snel.”
Hoe werd Avaddon verspreid?
De affiliates mochten zelf bepalen hoe ze de systemen besmetten en gingen op verschillende manieren te werk. “We zien vaak dat affiliates via online marktplaatsen toegang tot bedrijven kopen”, vertelt Scharloo. “Zo hoeven ze zelf minder voorwerk te doen. Maar bij Avaddon zijn er wat oudere methodes van stal gehaald, zoals een grootschalige spamcampagne. Hierbij verstuurden de affiliates massaal e-mails met daarin een link naar de ransomware. We vermoeden dat ze ook berichten via social media hebben ingezet.”
Daarnaast werd deze ransomwarevariant verspreid via online advertenties. Volgens de securityonderzoeker ging het vooral om reclames op 18+-sites en goksites. “De affiliates van Avaddon maakten waarschijnlijk gebruik van de wat meer louche advertentieplatforms. Partijen als Google en Facebook stellen strenge eisen aan adverteerders en monitoren zowel handmatig als automatisch op misbruik. De kleinere aanbieders zijn daarin wat minder strikt.”
Welke incidenten hebben er plaatsgevonden?
Het bekendste voorbeeld is de aanval op de Aziatische tak van AXA, een van de grootste verzekeraars ter wereld. Hierbij zouden de criminelen drie terabyte aan data hebben gestolen. Het ging onder meer om gevoelige informatie zoals screenshots van paspoorten, contracten, claims van klanten, betaalgegevens, onderzoeken naar fraude en medische rapporten. Saillant detail: kort daarvoor maakte AXA bekend dat het voortaan geen losgeld meer vergoedt aan slachtoffers van ransomware-aanvallen.
AXA is slechts een van de slachtoffers. Zo werd in november 2020 de Amerikaanse dienstverlener American Bank Systems getroffen door Avaddon. In Australië kregen de New South Wales Labor-partij en een partner van telecombedrijf Telstra te maken met deze ransomware. En ook het Belgische consultancybureau Finalyse werd aangevallen met Avaddon. Door degelijke procedures en ‘een beetje geluk’ viel de schade alleszins mee.
De ernst van de situatie blijkt ook uit recente waarschuwingen van buitenlandse instanties, waaronder de FBI en het Australian Cyber Security Center (ACSC).
Wie waren de daders?
Er zijn aanwijzingen dat de Avaddon-bende financieel gesteund wordt door statelijke actoren. “Avaddon is zo ontworpen dat het in bepaalde landen geen systemen kan besmetten”, licht Scharloo toe. “Westerse overheidsinstanties zijn ook gewaarschuwd om extra alert te zijn.” Verder heeft de bende een aantal cruciale dienstverleners tot slachtoffer gemaakt. Wellicht niet alleen omdat deze organisaties diepe zakken hebben.
Liepen Nederlandse organisaties risico?
Het Australische bulletin bevat een opsomming van landen en branches die actief werden aangevallen met Avaddon. Nederland staat hier niet tussen, maar buurlanden zoals Duitsland, België en Frankrijk wel.
KPN Security hield geruimde tijd de website in de gaten waar de Avaddon-bende gestolen data lekte. “We deden dit vanuit onze maatschappelijke rol. Als wij zagen dat een Nederlandse partij slachtoffer is geworden, zouden we deze organisatie informeren en waar mogelijk ondersteunen.”
Hoe bescherm ik mijn organisatie tegen ransomware als Avaddon?
Scharloo noemt een aantal essentiële securitymaatregelen tegen ransomware. “Een moderne antivirusoplossing is een must, net als netwerkmonitoring. Zorg er daarnaast voor dat u goede offline backs-up van bedrijfskritische data heeft die niet door de ransomware kunnen worden aangetast, en test deze back-ups regelmatig. Ook netwerksegmentatie beperkt de impact van een ransomware-infectie. Daarmee legt u een soort digitale branddeuren aan. En vergeet niet om het personeel te trainen in gevaarherkenning.”
De securityonderzoeker belicht ook enkele specifieke maatregelen tegen ransomware die werkt volgens Avaddon-methoden. “Aangezien deze variant onder andere via e-mail wordt verspreid, is een goed spamfilter absoluut cruciaal. Verder kunt u overwegen om advertenties te blokkeren. Dat kan via browserplug-ins op het apparaat, maar er zijn ook oplossingen waarmee u dit op netwerkniveau regelt door bepaalde DNS-verzoeken eruit te filteren.”
Volgens Scharloo heeft het geen zin om lukraak een paar securityoplossingen aan te schaffen en daar verder niet meer naar om te kijken. “Mijn belangrijkste advies is: richt een continu verbeterproces in voor uw cybersecurity. Laat bijvoorbeeld twee keer per jaar een pentest uitvoeren en scherp op basis daarvan de beveiliging verder aan.”
Wat moet ik doen in het geval van een ransomwarebesmetting?
Op het moment van schrijven is voor een versleuteling door Avaddon een werkende decryptietool op Emsisoft te downloaden. Mocht dat niet (meer) werken, of bent u slachtoffer geworden van een andere ransomwarevariant? Scharloo geeft enkele adviezen: “Sluit een geïnfecteerd systeem niet af, maar laat het aan staan. Dit is vaak tegen de eerste ingeving in, maar het is belangrijk dat er geen informatie verloren gaat die in het werkgeheugen van het systeem staat.”
“Breng de impact van de situatie in kaart en schakel forensisch specialisten in”, vervolgt de securityonderzoeker. “Zij achterhalen waar het mis is gegaan en voorzien u van advies om uw bedrijfsprocessen weer op een veilige manier op te starten. Doe ook altijd aangifte bij de politie, en niet alleen vanuit eventueel verzekeringsoogpunt. De politie heeft veel expertise en moet weten wat er speelt in Nederland.
“Een dergelijk incident moet ook een wake-up call zijn”, stelt Scharloo. “Neem de gehele beveiligingsstrategie onder de loep. Heeft u inzicht in de risico’s voor uw organisatie? Heeft u de juiste maatregelen genomen om deze risico’s te mitigeren? Zo nee, dan is een verbeterslag nodig om herhaling te voorkomen. Veranker securitybeleid in uw organisatie.”