|
Avaddon 랜섬웨어의 피해자 유형과 운영 수익 공개 침해사고분석팀 2021.06.18 |
|
|
최근 출시된 Avaddon 랜섬웨어 암호 해독 키를 분석하여 위협 행위자가 표적으로 삼은 피해자 유형과 그들이 운영하는 동안 창출한 잠재적 수익이 밝혀졌다.
6월 11일, Avaddon 랜섬웨어 조직은 그들의 운영을 중단하기로 결정했다. 종료의 일환으로 그들은 피해자의 암호 해독 키를 BleepingComputer와 익명으로 공유했다.
Emsisoft는 이러한 키를 사용하여 피해자가 무료로 파일을 복구할 수 있는 암호 해독기를 만들었다.
이러한 복호화 키는 각 피해자가 숫자 ID와 피해자의 파일을 복호화 할 수 있는 2개의 base64 인코딩 암호화 키를 포함하는 두 개의 텍스트 파일로 공개되었다.
이러한 키 중 상당수에 대해 랜섬웨어 그룹은 Windows 도메인, 로그인 한 사용자 이름 또는 기타 식별자가 될 수 있는 정보들을 포함했다.
[그림 1. base64 인코딩 키 샘플]
Avaddon 암호 해독 키에 연결된 고유 식별자를 분석한 후 사이버 보안 회사인 Advanced Intel은 랜섬웨어 그룹의 표적이 된 피해자에 대한 익명의 세부 정보를 공개했다.
Advanced Intel의 보고서에서 그들은 고유한 데이터 셋을 사용하여 Avaddon 그룹이 표적으로 삼은 피해자의 전체 목록을 밝혔다.
[그림 2. Avaddon 랜섬웨어 피해자]
지도에서 알 수 있듯이 러시아 또는 다른 CIS 국가에는 랜섬웨어 그룹의 희생자가 존재하지 않았다.
[그림 3. 산업별 Avaddon 피해자]
Avaddon이 목표로 하는 상위 3개 업종은 소매업(12.5%), 제조업(12.2%), 금융(7.5%) 이었다.
[그림 3. Avaddon 피해자 수익]
마지막으로 Advanced Intel은 알려진 피해자 목록을 사용하여 연간 수익을 기준으로 이들을 그룹화하여, 50% 이상의 소득이 천만 달러 미만임을 보여주었다.
평균적으로 Avaddon 피해자의 수익은 다음과 같다. • 중소기업 1,300만 달러 • 중견기업 2억 8,700만 달러 • 대기업 37억 달러
Avaddon이 운영을 중단한 이유는 분명하지 않지만, 이는 미국 정부와 법 집행 기관의 압력 증가 때문인 것으로 보인다.
출처 https://www.bleepingcomputer.com/news/security/avaddon-ransomwares-exit-sheds-light-on-victim-landscape/ https://www.advanced-intel.com/post/the-rise-demise-of-multi-million-ransomware-business-empire |
