Le gang Avaddon, particulièrement agressif ces dernières semaines, a brutalement disparu. Toutes les traces de son activité ont été effacées, et les clés de déchiffrement permettant de venir en aide aux victimes ont été envoyées gratuitement au Bleeping Computer.

« Ce matin, le Bleeping Computer a reçu un email anonyme qui prétendait provenir du FBI , et qui contenait un mot de passe ainsi qu’un lien vers un fichier ZIP protégé  ». Site de référence sur les rançongiciels avec un média exhaustif sur le sujet et un forum d’aide prisé, le Bleeping Computer

Le 11 juin, le site américain de référence sur les rançongiciels a récupéré 2 934 clés de déchiffrement créées par le gang Avaddon. Concrètement, chacune de ces clés correspond à une version du rançongiciel, et elles couvrent l’ensemble des victimes dont le système informatique a été chiffré par le logiciel malveillant.

Avaddon a-t-il disparu pour de bon ? // Source : Louise Audry pour Numerama

Confiées à l’entreprise de sécurité Emsisoft, les clés ont permis de créer un outil de déchiffrement gratuit dans la journée. Il sera particulièrement utile aux victimes les plus récentes du gang, qui étaient encore en phase de négociation ou qui avaient refusé le paiement de la rançon.

Les victimes les plus anciennes pourraient aussi y trouver un intérêt, si elles n’ont pas supprimé les dossiers chiffrés par Avaddon. Même lorsqu’une victime restaure son système à partir de ses sauvegardes, le système restauré n’est pas forcément identique à celui d’avant l’attaque. Les anciennes victimes pourraient ainsi retrouver des données qu’elles pensaient perdues.

Très actif avant sa disparition

La publication des clés de chiffrement ne vient pas seule : Avaddon semble tout simplement avoir disparu d’Internet. Son site de divulgation de données, ses serveurs ou encore ses messages et profils sur les forums de hackers, tout a disparu.

Parmi les chercheurs en sécurité, personne ne s’attendait à un effacement aussi brutal. Certes, le FBI et l’autorité australienne avaient émis récemment un avertissement aux entreprises sur l’activité du groupe. Mais justement, cette alerte était le signe d’un pic d’attaques de la part d’Avaddon.

Lancé en juin 2020 avec une campagne de phishing simple, mais efficace, Avaddon se hissait parmi les plus grandes figures du secteur. Comme le relève The Record Media, le groupe avait profité du démantèlement de Darkside à la suite de l’affaire Colonial Pipeline pour tenter de récupérer des parts de marché. Dans les chiffres, il a fait au moins 59 victimes depuis le 7 mai, ce qui faisait de lui le deuxième rançongiciel le plus actif sur la période.

Arrêt… ou redémarrage ?

Habituellement, lorsque les gangs rendent les armes, ils se fendent de communiqués pour en donner les raisons… qu’elles soient authentiques ou non. C’est l’occasion de faire de prétendus mea culpa censés calmer les enquêtes en cours. Par exemple, en février, un des administrateurs de Fonix Crypter prétendait arrêter l’activité du gang pour des raisons éthiques. Mais il semblerait que le groupe maitrisait mal son rançongiciel, et qu’il peinait à aider les victimes qui payaient la rançon.

Avaddon est un groupe bien plus sérieux que Fonix. Très réactif, il avait réparé une vulnérabilité de son malware à peine quelques heures après qu’un chercheur l’a pointée du doigt. Il était aussi connu pour répondre rapidement aux demandes de négociations et pour son automatisation de la publication des données de victimes. Il est donc étrange qu’un groupe si organisé disparaisse sans explication.

Semer les forces de l’ordre

Une des théories, relayée par The Record Media, suggère que le groupe va simplement se réorganiser et changer de nom. L’objectif ? Complexifier les enquêtes des forces de l’ordre et des entreprises privées. Sous l’impulsion des plus hautes sphères du pouvoir américain, les autorités se montrent plus agressives que jamais envers les gangs, et le président Joe Biden veut confronter son homologue russe Vladimir Poutine sur le sujet.

Les enquêteurs peuvent identifier les serveurs d’une organisation cybercriminels et suivre ses mouvements, décortiquer son mode opératoire, analyser en profondeurs ses malwares. Plus ils collectent d’informations, plus ils seront susceptibles de remonter aux personnes à la tête de l’organisation. Repartir sur des nouvelles bases serait pou Avaddon l’occasion de rendre une partie de ce travail obsolète ?

Avaddon ne serait pas le premier à changer de peau. Gandcrab est ainsi devenu REvil, Nemty est devenu Nefilim et dans une moindre mesure, la fin de Maze a fait émerger Egregor. Ces mues s’accompagnent d’une mise à jour importante du rançongiciel, mais l’équipe de développeurs ne change pas (ou très peu), et ils font généralement appel aux mêmes hackers affiliés.  Bref, il faudra attendre quelques mois pour savoir si cette disparition d’Avaddon est pour de bon.

Crédit photo de la une : Harry Potter à l'école des sorciers.

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux