skip to Main Content

Cybercrime: diffuso un tool per decrittare Avaddon, ma i criminali reagiscono subito

di Pierguido Iezzi

Uno studente spagnolo ha sviluppato e diffuso un tool per aiutare le vittime di Avaddon

Uno studente di informatica spagnolo, qualche settimana fa, ha reso disponibile online un decryptor gratuito per aiutare le vittime del ransomware Avaddon, uno degli strain più “in vista” degli ultimi mesi. Ma il beau geste è durato ben poco. Da quanto emerge da un recente post pubblicato su un forum da un rappresentante del gruppo del cybercrime dietro al malware, un semplice aggiornamento del codice ha reso inutile il tool Questo era stato diffuso da Javier Yuste, studente della Università Rey Juan Carlos di Madrid, su Github. Come fa intuire il nome di questo strumento, AvaddonDecrypter, è efficace per decrittare i dati su macchine colpite da ransomware Avaddon, ma solo nel caso in cui non siano ancora state spente. Il suo funzionamento è ingegnoso: viene effettuato un dumping della memoria RAM del sistema compromesso, alla ricerca di dati da utilizzare per recuperare la chiave di decrittazione originale del ransomware. Se è possibile recuperare un quantitativo di informazioni sufficiente, può essere usato in seguito per decrittare i file senza dover pagare i riscatti.

I gruppi del cybercrime dietro ai malware hanno una capacità di reazione molto veloce

Se il tool gratuito potrebbe sicuramente tornare utile alle vittime “passate” di questo temibile ransomware, purtroppo non avrà alcuna valenza per i nuovi target che cadranno preda delle macchinazioni di Avaddon. Questo perché il rilascio del decryptor è stato notato dai criminal hacker ben prima di quanto sia ragionevole aspettarsi. In un post pubblicato su un forum nelle scorse settimane, il gruppo del cybercrime affermava di averlo analizzato e di aver già rilasciato aggiornamenti al codice del malware per rendere del tutto inutile il potenziale effetto positivo della utility. Tale risposta repentina del team di Avaddon segue quella, altrettanto rapida, che la gang che opera Darkside aveva mostrato a seguito del rilascio di un tool simile nel mese di gennaio 2021. Questo ci fa capire quanto le organizzazioni criminali siano sempre attente a nuovi aggiornamenti, soprattutto se tali notizie possono causare una diminuzione dei loro utili.

L’ampia diffusione del decryptor è stata utile o dannosa?

A conti fatti, il rilascio di queste utility di decifratura ha avuto un impatto positivo assai limitato. Sebbene alcune vittime siano riuscite a decrittare i file con il decryptor, una volta che la gang di Avaddon ne ha scoperto l’esistenza, lo ha analizzato a fondo al fine di modificare il codice e rendere la contromisura inutile dopo pochi giorni. La sua pubblicazione, peraltro, ha riacceso un lungo dibattito, vecchio ormai di anni, su come i tool di decifratura dovrebbero essere pubblicati e pubblicizzati per raggiungere potenziali clienti (ovvero, in primis, vittime di ransomware). Diverse voci autorevoli del settore hanno fatto sapere chiaramente la loro, spingendo sin da metà 2010 verso una diffusione spiccatamente verticale di questi strumenti. Le utilities di decifratura, secondo una parte dell’opinione, in altri termini, dovrebbero rimanere private ed essere distribuite alle vittime attraverso canali riservati, di certo non pubblicizzate su internet. Inoltre, anche nel caso in cui debbano essere resi pubblici, non dovrebbero essere allegati dettagli tecnici alla release della utility. Tali informazioni, sebbene vengano pubblicate in buona fede, non fanno altro che aiutare gli aggressori anche se indirettamente.

La comunità degli esperti di cybersecurity deve trovare un sistema di distribuzione efficace dei tool anti-ransomware, senza rivelare le carte al nemico

D’altro canto, i tool di decriptazione che vengono sviluppati sulla base di chiavi di decifratura (master) ottenute dai server degli aggressori, possono essere condivise online poiché in questo caso specifico gli sviluppatori del ransomware non potrebbero annullarne l’efficacia. Considerando tutti gli aspetti elencati finora, cioè il modo in cui i gruppi criminali Avaddon e Darkside hanno reagito rapidamente, non è difficile comprendere chi vorrebbe una maggiore riservatezza nella loro distribuzione. Anche se la cybersecurity così monolitica, va comunque ammesso d’altro canto, non diventerà mai sufficientemente reattiva al cambiamento da poter essere al pari con gli sforzi dei Criminal Hacker. Insomma una questione che rimane aperta al dibattito. Va comunque trovato un sistema di distribuzione efficace che, senza rivelare le carte al nemico, renda disponibile a chi ne ha seriamente bisogno, uno strumento che risolva rapidamente una situazione di stallo che può portare aziende anche importanti a pagare il riscatto.

Non abbassiamo la guardia!

Back To Top