Pokládáme za nutné informovat o aktuální hrozbě v podobě probíhající kampaně ransomwaru Avaddon. Varování publikoval na svých stránkách NÚKIB [1].

Ze zaznamenaných případů víme, že šifrování dat je pouze zástěrkou pro jejich odcizení. Útočníci stojící za tímto ransomwarem na rozdíl od jiných případů nepožadují výkupné za dešifrování dat, ale za jejich nezveřejnění.

Ransomware Avaddon je v Česku velmi rozšířený, zhruba 6 % jeho obětí je z Česka, což nás řadí na osmé místo na světě [2]. Nevíme, ke kolika incidentům v souvislosti s tímto ransomwarem došlo, ale útočníci na svých stránkách zveřejnili odcizená data pěti různých českých společností, mezi nimi i města Olomouce, jehož síť byla tímto ransomwarem také napadena [3].

Pro účinnou ochranu před tímto typem ransomwaru doporučujeme minimálně mít aktuální řešení pro ochranu koncové stanice nasazené na všech systémech ideálně včetně modulu EDR. Dále doporučujeme mít záplatované systémy, ransomware Avaddon zneužívá zranitelnosti pro zajištění eskalace privilegií. V neposlední řadě je vhodné monitorovat níže uvedené indikátory kompromitace.

Zdroje:

[1] https://www.nukib.cz/cs/infoservis/hrozby/1717-upozorneni-na-probihajici-kampan-ransomwaru-avaddon/
[2] https://www.domaintools.com/resources/blog/avaddon-the-latest-raas-to-jump-on-the-extortion-bandwagon
[3] https://www.irozhlas.cz/zpravy-domov/olomouc-magistrat-hackersky-utok-hackeri-ransomware-avaddon_2105221133_ako