s0640-avaddon - RunkIntel

# Avaddon > Tipo: **malware** · S0640 · [MITRE ATT&CK](https://attack.mitre.org/software/S0640) ## Descrição [[s0640-avaddon|Avaddon]] é um ransomware escrito em C++ que foi oferecido como Ransomware-as-a-Service (RaaS) desde pelo menos junho de 2020 até junho de 2021, quando os operadores encerraram as operações e públicaram as chaves de descriptografia após pressão de autoridades policiais internacionais. Durante sua existência, o Avaddon comprometeu centenas de organizações em setores de saúde, manufatura, financeiro e serviços públicos, utilizando campanhas de phishing com anexos JavaScript maliciosos como vetor primário de distribuição. O Avaddon inclui verificação de idioma ([[t1614-001-system-language-discovery|T1614.001]]) para evitar execução em sistemas com idiomas russo e de países da CEI - técnica comum em ransomware de origem russófona. Antes da criptografia, desabilita backups e ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]), para serviços críticos ([[t1489-service-stop|T1489]]) e inibe a recuperação do sistema ([[t1490-inhibit-system-recovery|T1490]]). Para elevar privilégios, usa bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) e pode se propagar via compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]). O payload é ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) e decodificado em runtime ([[t1140-deobfuscatedecode-files-or-information|T1140]]). O grupo Avaddon operou com modelo de dupla extorsão - cifrando dados e ameaçando publicá-los no data leak site - e chegou a realizar ataques de DDoS como terceira camada de pressão sobre vítimas relutantes em pagar. O encerramento abrupto em junho de 2021, com divulgação de ~2.934 chaves de descriptografia ao BleepingComputer, foi atribuído a aumento de pressão regulatória nos EUA após o ataque ao Colonial Pipeline. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Detecção - **Sysmon Event ID 1**: monitorar execução de scripts JavaScript (`.js`) via `wscript.exe` ou `cscript.exe` como processo pai de binários suspeitos - vetor de entrega primário do Avaddon. - **Sysmon Event ID 13** (Registry Value Set): alertar sobre modificações em chaves de registro relacionadas a UAC, especialmente `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System`. - **EDR telemetria**: detectar execução de `vssadmin.exe`, `wbadmin.exe` ou `bcdedit.exe` com parâmetros de deleção de backups; e parada de serviços de antivírus e backup em sequência rápida. - **Referência Sigma**: `ransomware_avaddon_indicators.yml` - indicadores específicos do Avaddon; e `proc_creation_win_susp_wscript_js.yml` para execução de JavaScript via WScript. ## Relevância LATAM/Brasil O Avaddon foi um dos ransomwares mais ativos no Brasil durante 2020-2021, com múltiplas organizações brasileiras listadas no data leak site do grupo. O setor de saúde e manufactura brasileiro foram alvos prioritários, incluindo empresas da área industrial. Embora o grupo tenha encerrado operações em 2021, as chaves de descriptografia públicadas foram incorporadas à ferramenta de recuperação NoMoreRansom, permitindo a recuperação de dados em sistemas afetados que ainda não foram restaurados. A modalidade de ataque via phishing com JavaScript é particularmente eficaz no Brasil dado o alto volume de e-mails maliciosos em português. ## Referências - [MITRE ATT&CK - S0640](https://attack.mitre.org/software/S0640)