¿Qué es y cómo opera Avaddon, el ransomware que atacó la Lotería Nacional?

Avaddon apareció en 2020 y rápidamente se volvió popular en los mercados negros

¿Qué es y cómo opera Avaddon, el ransomware que atacó la Lotería Nacional?

El grupo de hackers responsables de la creación del ransomware Avaddon por medio del cual secuestraron información de la Lotería Nacional en un periodo de 2009 al 2021 no es la primera vez que ataca, en sus inicios durante el 2020 regiones de Europa y Estados Unidos fueron las afectadas, sin embargo, a medida que más personas están en casa y hacen uso de los servicios digitales como videollamadas, los cibercriminales encontraron una puerta por donde entrar para vulnerar sus sistemas.

De acuerdo con información de la firma de ciberseguridad, ESET, Avaddon es un ransomware as a service (RaaS) el cual fue reportado por primera vez en junio de 2020 y que se ha vuelto popular en los mercados negros, este virus malicioso encontró la forma de crecer potenciado por el contexto de la pandemia donde las comunicaciones por correo y mensajería instantánea así como el uso más frecuente de aplicaciones de videoconferencia y el repentino crecimiento del teletrabajo, generaron las bases propicias para los ataques de ransomware. ESET señala que se han registrado ciberataques de Avaddon en diferentes regiones de América Latina como Brasil, Perú, Chile, Costa Rica y más recientemente se agregó México, sus víctimas van desde organismos gubernamentales hasta compañías de industrias como la salud y las telecomunicaciones.

¿Cómo opera Avaddon?

Generalmente, por medio de correos electrónicos que contienen archivos zip infectados los cuales instalan el virus en los sistemas, una vez abierto el archivo, Avaddon encripta los archivos con el algoritmo de encriptado AES que se realiza con algoritmos que emplean una o más llaves criptográficas, es decir, cadenas de caracteres con una longitud lo suficientemente larga como para no ser encontradas mediante prueba y error.

Una vez dentro, cambia el nombre del archivo poniendo al final las letras “.avdn” en todos los archivos como documentos, fotos, bases de datos; para desencriptar la información es necesario el software Avaddon General Decryptor, la herramienta está a la venta en el sitio web Tor el cual contiene instrucciones y el precio de la herramienta así como un periodo de tiempo antes de que su precio se duplique, las víctimas deben pagar a los ciberdelincuentes en criptoactivos los cuales no son rastreables.

Asimismo, cuando la información de la víctima no es lo suficientemente importante o tienen forma de recuperarla por medio de copias de seguridad los hackers recurren a un segundo plan, lanzar ataques de tipo denegación de servicios distribuido (DDoS, por sus siglas en inglés) que apuntan a las redes internas o sitio web de la empresa víctima, en el caso de la lotería mexicana, los ciberdelincuentes amenazaron con lanzar este ataque si no se paga el rescate en un plazo máximo de 10 días (240 horas), el cual declina las operaciones de la página web.

 

¿Es posible recuperar los archivos secuestrados por Avaddon?

A pesar de que la única herramienta 100% efectiva para desencriptar los archivos está desarrollada por los hackers, un estudiante español publicó el pasado 8 de febrero una herramienta de descifrado gratuita y de código abierto en GitHub que permitía a las víctimas de Avaddon recuperar sus archivos en la mayoría de los casos.

Esta herramienta recorre la memoria RAM en busca de suficiente información como para rearmar la clave de cifrado original y lograr liberar los archivos sin necesidad de pagar el secuestro; no obstante, la banda de cibercriminales publicaron rápidamente que las debilidades habían sido reparadas y hasta el momento no se conocer otra herramienta que sirva para revertir la encriptación hecha por Avaddon.

Este video hecho por ESET Latinoamérica explica a detalle qué es el ransomware y cómo puedes protegerte de este tipo de ataque a la seguridad informática.

cjv


Compartir