Avaddon: Populäre Ransomware-Gang gibt auf und Hunderte Schlüssel zurück

Ransomware – USA erhöhen Druck. (Foto: posteriori/Shutterstock)
Nach einer wahren Erpressungswelle in den USA hatten die Behörden den Druck auf die Cyberkriminellen zuletzt stark erhöht. Der Ransomware-Angriff auf den Pipeline-Betreiber Colonial Pipeline hatte das US-Justizministerium sogar bewogen, Cyberangriffe in Sachen Priorisierung bei der Strafverfolgung auf eine Stufe mit Terrorattacken stellen zu wollen. Die angezogenen Daumenschrauben scheinen schon Wirkung zu zeigen. Eine populäre Ransomware-Gruppe hat ihr Treiben offenbar beendet.
Avaddon hatte sich in den vergangenen Monaten einen Spitzenplatz im unrühmlichen Ranking der am meisten eingesetzten Ransomware-Varianten erarbeitet. Dass die offenbar „erfolgreichen“ Erpresser jetzt die Segel streichen, ist für die Opfer natürlich eine gute Nachricht. Für die Aufgabe dürfte aber wohl kaum ein plötzlicher Sinneswandel verantwortlich gewesen sein, sondern eben die zunehmende Angst, erwischt zu werden. Schließlich war es dem FBI zuletzt gelungen, sich Zugriff auf die Bitcoin-Wallet der Colonial-Pipeline-Erpresser zu verschaffen – und insgesamt 63,7 Bitcoin zu retten.
Die Ransomware-Gruppe Avaddon hat sich übrigens über die Plattform bleepingcomputer.com aus dem Geschäft verabschiedet. Die Redakteure dort erhielten eine Nachricht mit einem Passwort und einem Link zu einem geschützten Zip-File, die angeblich vom FBI stammen sollte. Die Datei trug den Namen „Decryption Keys Ransomware Avaddon“ – und enthielt tatsächlich Decryption-Keys, wie eine Prüfung von Experten ergab. Insgesamt zählte bleepingcomputer.com 2.934 Decryption-Keys. Jeder von ihnen soll zu einem Erpressungsopfer gehören. Auf dieser Website können Avaddon-Opfer ihre Dateien kostenlos entschlüsseln lassen.
In den vergangenen Tagen sollen die hinter Avaddon stehenden Cyberkriminellen ihre Opfer noch einmal bearbeitet haben, das Lösegeld schnell zu überweisen. Dabei sollen sie jegliche Gegenangebote akzeptiert haben, was Beobachtern zufolge ungewöhnlich ist. Dem Coveware-CEO Bill Siegel zufolge soll Avaddon im Schnitt 600.000 US-Dollar verlangt haben, um die verschlüsselten Dateien wieder zu entschlüsseln.
Dass Ransomware-Gruppen vor einer Auflösung oder dem Start einer neuen Attacke mit neuer Software die Decryption-Keys herausrücken, ist derweil nicht allzu ungewöhnlich. Ähnliches hatten auch schon Teslacrypt, Crysis, AES-NI, Shade, Fileslocker, Ziggy und Fonixlocker getan, wie bleepingcomputer.com aufzählt. Dass aktuell alle Tor-Seiten von Avaddon nicht mehr zugänglich sind, deutet darauf hin, dass Avaddon tatsächlich Geschichte ist.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team