Cómo opera Avaddon, el rasomware que atacó a la Lotenal

Es un ransomware as a service (RaaS) y cuenta con una sólida reputación en los mercados negros.

CIUDAD DE MÉXICO.- El ransomware como amenaza ha evolucionado y ahora son ataques dirigidos donde los ciberdelicuentes piden pagos más altos y usan mecanismos más sofisticados al secuestrar equipos y sistemas de empresas y gobiernos.
Martina López, investigadora de seguridad de Eset, explica en un análisis que Avaddone, ransomware que atacó a Pronósticos Deportivos de la Lotería Nacional (Lotenal), es un ransomware as a service (RaaS) y que cuenta con una sólida reputación en los mercados negros.
Esto significa que terceros contratan a los ciberdelincuentes para determinados servicios y objetivos.
"Si bien los blancos de ataque más comunes en su corto período de vida han sido pequeñas y medianas empresas de Europa y Estados Unidos, algo que llamó nuestra atención es la cantidad de afectados por este ransomware en América Latina", destaca López.
En Brasil, Perú, Chile y Costa Rica se ha dado cuenta de víctimas de Avaddon en los últimos meses, desde organismos gubernamentales hasta compañías de industrias como la salud o las telecomunicaciones.
Para enero de 2021 la cantidad de empresas afectadas por Avaddon eran 23 y al menos cinco se encontraban en América Latina.
La manera cómo opera es a través de correos electrónicos con archivos adjuntos en formato ZIP con un archivo javascript malicioso, señala la analista.
"Estos correos incluían un mensaje en el cuerpo del correo que buscaban despertar la curiosidad del usuario, como una supuesta foto o similar".
Ataque "como servicio"
Este modelo de ransomware como servicio que utiliza Avaddon "permite la construcción de un servicio de creación de amenazas "a medida"", detalla López.
Por lo que Avaddon puedan adaptar los mecanismos de infección según las características del blanco elegido.
"Esto implica variaciones en los métodos utilizados para establecer un primer contacto, el monto que se solicita a la víctima para el pago del rescate, o modificar para cada ataque el código malicioso para evitar ser detectados por soluciones de seguridad que sepan de la existencia de ataques previos de la misma amenaza".