Avaddon, un nuovo protocollo Ransomware-as-a-Service (RaaS), è recentemente balzato agli onori della cronaca per aver infettato numerose macchine e richiesto il pagamento di riscatti tramite criptovalute.
Come altri ransomware creati da gruppi hacker quali Maze e REvil, il progetto Avaddon offre un sistema di revenue sharing per gli utenti che lo utilizzano con successo per colpire vittime ignare.
Secondo una ricerca della società di cyber intelligence DomainTools, i RaaS si stanno evolvendo: gli hacker si concentrano sempre di più sullo sviluppo dei programmi, mentre lasciano a soggetti terzi l’individuazione delle vittime e il deploy del software malevolo.
Tarik Saleh, senior security engineer e malware researcher di DomainTools, ha commentato così il programma di affiliazione utilizzato all’interno del gruppo:
“I creatori dei malware cercano di accaparrarsi dei profitti con il minor rischio possibile, ed il sistema di affiliazione RaaS va in questa direzione. I cybercriminali utilizzano le stesse tattiche di altri gruppi, quindi possiamo aspettarci che il sistema RaaS continui a crescere.”
Saleh ha spiegato che finora non c’è un decryptor disponibile per Avaddon, a parte quelli forniti alle vittime dopo il pagamento del riscatto.
Nonostante la formula di pagamento preferita per questo ransomware sia Bitcoin, Saleh ha registrato un cambiamento di trend negli ultimi mesi. Prendendo le mosse dal recente Twitter Hack, ha dichiarato che “stiamo assistendo ad una crescente attenzione verso Monero, dato che Bitcoin non offre le stesse condizioni di privacy ed anonimato.”
Saleh ritiene che gli sviluppatori di questo software siano russi, dato che vendono solo ad utenti che parlano russo e operano su marketplace russi.
Il governo di Mosca “ha chiuso più di un occhio verso i cybercriminali che non prendono di mira asset russi”. Saleh ha concluso dicendo che questa regola non scritta, finora, sembra aver offerto ai criminali un ampio margine di impunità.