Af Eskil Sørensen, 14/06/21
Mens verden venter på topmødet mellem Putin og Biden på onsdag, hvor bl.a. cyberkriminalitet og den omsiggribende ransomware efter sigende skulle være på dagsordenen, har en ransomwaregruppe tilsyneladende lukket for sine aktiviteter. Det skriver mediet BleepingComputer efter at have modtaget et anonymt tip, der indeholdt et kodeord og et link til en adgangskodebeskyttet ZIP-fil. Tippet foregav at være fra FBI og filen hævdedes at være "Dekrypteringsnøgler Ransomware Avaddon".
Efter at have testet filerne ved hjælp af sikkerhedseksperter fra hhv. Emsisoft og Coveware kunne det bekræftes, at nøglerne var legitime. I alt er der fra trusselsaktørerne sendt 2.934 dekrypteringsnøgler, hvor hver nøgle svarer til et specifikt offer. Hvilket må betyde, at gruppen har haft gang i 2.934 ransomwareaktiviteter på det tidspunkt, hvor dekrypteringsnøglerne blev frigivet. På nuværende tidspunkt er alle Avaddons Tor-sider utilgængelige, hvilket underbygger, at ransomware-aktiviteterne fra gruppen sandsynligvis er lukket ned.
Avaddons gennemsnitlige løsesumskrav har ifølge Coveware være omkring $ 600.000, hvilket viser, at det potentielt har været en lukrativ forretning.
Lukket pga presset?
Avaddon er en relativt ny gruppe, der startede i juni 2020, men som altså på kort tid har formået at genere mange med sine aktiviteter. Ifølge Bleeping Computer skulle den være vokset til en af de større ransomware-aktører, som i de sidste par dage har presset sine ofre ekstra meget, men også accepteret ofrenes modsvar uden yderligere forhandling. Med lukningen af aktiviteterne må man forstå, at de har villet klemme det sidste ud før lukningen.
Det er ikke klart, hvorfor Avaddon lukker ned, men der spekuleres i, om det skyldes det øgede pres fra regeringer over hele verden efter angrebene mod kritisk infrastruktur i USA, og som fik nogen til at lukke ned for DarkSide-gruppen.