Entschlüsselungs-Tool für Ransomware Avaddon verfügbar

Stefan Beiersmann,
Schlüssel (Bild: ZDNet.com)

Der Blog BleepingComputer erhält eine Liste mit 2934 Entschlüsselungs-Schlüsseln. Emisoft bestätigt deren Echtheit und entwickelte das kostenlose Tool. Im Schnitt sollen Avaddon-Opfer jeweils rund 600.000 Dollar Lösegeld bezahlen.

Opfer der Ransomware Avaddon erhalten nun auch ohne Lösegeldzahlung ihre Daten zurück. Die Hintermänner der Erpressersoftware haben offenbar ihre Aktivitäten eingestellt. Zuvor übergaben sie jedoch noch alle 2934 Entschlüsselungsschlüssel dem Blog BleepingComputer, was es dem Sicherheitsanbieter Emisoft ermöglicht hat, ein Entschlüsselungs-Tool für Avaddon zu entwickeln.

BleepingComputer erhielt nach eigenen Angaben eine anonyme E-Mail mit einem Passwort und einem Link zu einer ZIP-Datei mit dem Namen “Entschlüsselungs-Schlüssel Ransomware Avaddon. Die Datei enthielt besagte 2934 Schlüssel – für jedes Opfer der Avaddon-Gruppe ein Schlüssel. Bis konnten den Cybererpressern allerdings erst 88 Angriffe zugeordnet werden: Viele Organisationen gehen weiterhin mit Ransomware-Angriffen trotz des damit meist einhergehenden Datenverlusts nicht an die Öffentlichkeit.

Die Schlüssel überprüfte BleepingComputer zusammen mit Fabian Wosar, Chief Technologe Officer bei Emisoft, und Michael Gillespie vom Sicherheitsanbieter Coveware. Das daraufhin erstellte kostenlose Tool zum Entschlüsseln steht Opfern von Avaddon nun kostenlos zum Download zur Verfügung – die Emisoft-Website meldet aktuell 2663 Downloads des am Freitag veröffentlichten Tools.

Die Tor-Websites der Avaddon-Gruppe sind dem Bericht zufolge derzeit offline. BleepingComputer will zudem erfahren haben, dass die Hintermänner in den vergangenen Tagen versucht haben sollen, Lösegeldzahlungen von noch nicht zahlungswilligen Opfern einzutreiben.

“Letztendlich legt die Schlüsseldatenbank, die wir erhalten haben, nahe, dass sie mindestens 2.934 Opfer hatten”, sagte Wosar im Gespräch mit ZDNet.com. “In Anbetracht des durchschnittlichen Avaddon-Lösegelds von etwa 600.000 US-Dollar und der durchschnittlichen Zahlungsrate für Ransomware können Sie sich wahrscheinlich selbst abschätzen, wie viel Avaddon generiert hat.”

Emisoft geht davon aus, dass die Hintermänner von Avaddon ihre Aktivitäten aufgegeben haben, weil die jüngsten Ransomware-Attacken auf hochrangige Ziele wie Colonial Pipeline und JBS die Cybererpresser-Branche ins Blickfeld der Strafermittler gerückt hat. So räumen FBI und US-Justiz Ermittlungen gegen Interneterpresser eine ähnliche hohe Priorität ein wie gegen Terroristen.