Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 1740 Tage inaktiv Ransomware-Gruppe · Profil

Avaddon

146Opfer gesamt
0Opfer (30 Tage)
01.02.2021Erstes Auftreten
InaktivStatus

Überblick

Bei Avaddon handelt es sich um eine Ransomware, die gezielt Windows-Systeme angreift. Die Verbreitung erfolgt häufig über schädliche Spam-Nachrichten, über die die Schadsoftware auf die Systeme der Opfer gelangt. Nach der Infektion verschlüsselt Avaddon die Dateien der Betroffenen und versieht sie mit der Dateiendung „.avdn“, sodass die Inhalte für die Geschädigten unzugänglich werden. Für die Abwicklung der Lösegeldforderung setzt die Gruppe auf eine im TOR-Netzwerk betriebene Zahlungsseite, über die die Opfer zur Zahlung aufgefordert werden. Die Kombination aus massenhafter Verbreitung per Spam und konsequenter Dateiverschlüsselung kennzeichnet das grundsätzliche Vorgehen von Avaddon gegen die betroffenen Einrichtungen.

Taktiken & Vorgehen

Im Rahmen ihrer Angriffe setzt die Gruppe ein breites Spektrum an Werkzeugen ein. Zum Auslesen von Zugangsdaten und Anmeldeinformationen kommen „Mimikatz“ sowie „SharpDump“ zum Einsatz. Mit „GMER“, „PowerTool“ und „TDSSKiller“ werden Schutzmechanismen und Sicherheitssoftware ausgehebelt. Für die Erkundung und das Auskundschaften des Netzwerks nutzt Avaddon den Netzwerkscanner „SoftPerfect NetScan“. Zur weiteren Steuerung und Ausführung von Schadcode dienen „PowerShell Empire“ und „PowerSploit“. Für den Abfluss und die Ablage von Daten greift die Gruppe auf Dienste wie „Anonfiles“, „MEGA“ und „Sendspace“ zurück, während „ProtonMail“ der Kommunikation dient. Das Vorgehen verbindet damit Zugangsdaten-Diebstahl, Abwehr-Umgehung und Netzwerk-Auskundschaftung.

Schutzmaßnahmen

Da mit „Mimikatz“ und „SharpDump“ Anmeldeinformationen ausgelesen werden, sollte der Zugriff auf den Speicher von Anmeldediensten überwacht und eingeschränkt werden. Gegenüber „GMER“, „PowerTool“ und „TDSSKiller“ sollten Sicherheitslösungen manipulationssicher konfiguriert und Versuche der Deaktivierung protokolliert werden. Der Einsatz von „PowerShell Empire“ und „PowerSploit“ macht eine Einschränkung und Protokollierung von PowerShell sowie eine Skript-Ausführungskontrolle erforderlich. Gegen die Auskundschaftung mit „SoftPerfect NetScan“ sollte interner Scan-Verkehr durch Netzwerksegmentierung erschwert und überwacht werden. Der Abfluss von Daten über „Anonfiles“, „MEGA“ und „Sendspace“ sollte durch Filterung und Überwachung ausgehender Verbindungen zu solchen Diensten unterbunden werden.

Chronologie

  1. 01.02.2021 Erste bekannte Aktivität
  2. 09.09.2021 Zuletzt aktiv

Erwähnt in