Avaddon ha chiuso le attività oltre due anni fa, ma gli esperti di sicurezza avevano ipotizzato il ritorno con un altro nome. Dal mese di giugno è infatti attivo il suo erede: NoEscape. Sono già state colpite dieci aziende e chiesto riscatti fino a 10 milioni di dollari.
NoEscape: rebranding di Avaddon
Il gruppo Avaddon è rimasto in circolazione per un anno. A metà giugno 2021 ha spento tutti i server Tor e il sito nel dark web, chiuso tutti i profili sui forum di hacking e inviato le chiave di decifratura a BleepingComputer. Esattamente due anni dopo è apparso NoEscape. Come ha scoperto il ricercatore Michael Gillespie, il novo ransomware usa un metodo di cifratura simile a quello del suo predecessore.
File di configurazione e direttive sono identici. È stato solo cambiato l’algoritmo da AES a Salsa20. Probabilmente gli autori di NoEscape hanno acquistato il codice sorgente dal gruppo Avaddon. Gli esperti di sicurezza ipotizzano che alcuni membri di Avaddon partecipano alle nuova campagna.
NoEscape colpisce Windows, Linux e server VMware ESXi. All’avvio cancella tutte le copie shadow dei volumi per impedire il ripristino dei backup e termina processi e servizi associati a database, software di sicurezza, macchine virtuali e applicazioni di backup. Durante il processo di cifratura sono esclusi file e directory di sistema. Viene inoltre aggiunta un’attività pianificata per la persistenza (esecuzione all’avvio di Windows).
I cybercriminali possono scegliere tre tipi di cifratura per i file: completa, parziale (solo i primi X MB) o intermittente. Al termine viene cambiato lo sfondo del desktop per indicare il file di testo con le istruzioni da seguire per pagare il riscatto. Con un “personal ID” è possibile accedere al sito Tor che mostra la somma in Bitcoin. Dopo il pagamento viene fornito il link al decryptor.