O site de comunicações e vazamentos do grupo de ransomware Avaddon, na dark web, um dos mais ativos dos últimos meses, amanheceu fechado hoje: aparentemente o grupo que operava o site e o malware encerrou suas atividades, provavelmente devido ao elevado risco de ser descoberto e preso: foram muitas as baixas do cibercrime recentemente, entre os quais o ransomware DarkSide e o site Slilpp, o maior marketplace de credenciais roubadas disponível na internet. Depois de fechar o site, os operadores enviaram as chaves criptográficas de suas vítimas para a redação do portal Bleeping Computer. O material foi enviado como se fosse uma dica de reportagem anônimam com um endereço onde havia um arquivo zipado com as chaves.
Veja isso
Em 2031, prejuízo de ransomware alcança US$ 265 bi
Ransomware Prometheus ataca México; Brasil também é afetado
Segundo a redação do Bleeping Computer, os especialistas Fabian Wosar, da Emsisoft, e Michael Gillespie, da Coveware, receberam cópias do material e confirmaram que as chaves são verdadeiras e poderão ser utilizadas pelas vítimas do ransomware. A redação conseguiu encriptar uma máquina com uma versão recente do Avaddon e em seguida conseguiu desencriptá-la com uma das chaves.
No total, os os operadores do Avaddon enviaram à redação 2.934 chaves, sendo que cada chave corresponde a uma vítima específica. Cada chave foi criada para uma só operação.
A Emsisoft está trabalhando em um descriptografador gratuito com essas chaves, que deve estar disponível nas próximas 24 horas, se não antes.
Embora isso não aconteça com frequência suficiente, grupos de ransomware já lançaram chaves de descriptografia para o BleepingComputer e outros pesquisadores como um gesto de boa vontade quando fecham ou lançam uma nova versão.
