Avaddon : un butin d’au moins un million de dollars depuis début mai

Ce ransomware rencontre un succès croissant auprès des cybercriminels depuis le mois de mars. Le nombre de victimes ne payant pas progresse. Mais les traces de paiements laissent entrevoir une situation préoccupante.

À ce jour, le site vitrine d’Avaddon a déjà accueilli 41 nouvelles victimes au mois de mai, après 40 en avril et 26 en mars. En février, elles n’avaient été que 17, et 13 en janvier, soit une de plus qu’en décembre 2020. Avant cela, les revendications d’attaques n’ayant pas abouti au paiement de la moindre rançon n’avaient été qu’anecdotiques. L’accélération est évidente.

En France, on compte 12 victimes connues d’Avaddon depuis la fin de l’année dernière : Marolles-en-Brie, SVI Assurances, Cashmag, la Compagnie du SAV, Protectim, CNE, la fédération CINOV, Acer Finance, une filiale d’Axa en Asie, le Volcan, et Syndex.

Pour tenter de quantifier un peu plus précisément le niveau d’activité des affidés d’Avaddon, nous avons cherché à obtenir des échantillons du rançongiciel, téléversés dans des entrepôts de maliciels tels que VirusTotal, à la suite d’interventions de réponse à incident.

Un million de dollars en trois semaines

L’un de ces échantillons nous a permis d’identifier une adresse utilisée pour un paiement en bitcoins. Une somme modeste : environ 1 000 $, le 12 mai, soit 0,024 1 btc. La rançon a été presque immédiatement partagée, entre l’attaquant et les opérateurs d’Avaddon : 0,01683732 btc pour le premier (70 %), et 0,00719733 btc pour les seconds. Le versement destiné à l’attaquant a été fait sur une adresse qui semble liée à une plateforme d’échange : elle fait partie d’un portefeuille comptant près de 120 000 adresses. Ce n’est pas le cas de celle sur laquelle le versement destiné aux opérateurs d’Avaddon a été réalisé.

L’adresse ayant reçu les 30 % destinés aux opérateurs du ransomware n’est utilisée que depuis le début du mois de mai. À ce jour, près de 10 btc y ont été versés, soit plus de 370 000 $.

Le dernier dépôt en date remontant à ce jeudi 27 mai au matin, pour un montant d’un peu plus de 1 000 $. Au total, 25 paiements ont été réalisés depuis le début du mois de mai sur l’adresse en question, pour des montants oscillant entre 350 $ et… près de 45 000 $ pour le plus important.

Selon les transactions, la part prélevée par les opérateurs d’Avaddon a quant à elle oscillé entre 10 et 30 %, selon le montant de la rançon. Ils ne semblent avoir ainsi pris que 15 % sur un paiement de l’ordre de 100 000 $ survenu le 25 mai.  

Au regard de ces éléments, on peut donc raisonnablement estimer que si les affidés d’Avaddon ont revendiqué 41 victimes n’ayant pas cédé au chantage au mois de mai, ils sont effectivement parvenus à en extorquer au mois 25 autres, pour un montant total de près d’un million de dollars, au cours actuel du bitcoin (39 620 $).

Quelques affidés récurrents

Si les montants demandés par les cybercriminels utilisant Avaddon apparaissent bien moins spectaculaires que ceux demandés par d’autres, comme certains affidés de Revil et Conti, notamment, l’approche semble n’en semble pas moins fructueuse, hélas. Et attractive pour les cybercriminels.

Parmi les adresses bitcoin utilisées pour verser la part de la rançon revenant à l’affidé, six reviennent à plusieurs reprises. Mais cela ne permet pas d’affirmer qu’il s’agit d’autant d’affidés différents : un même cybercriminel utilisant le ransomware Avaddon peut potentiellement se faire verser sur différentes adresses bitcoin.

Une même adresse revient toutefois six fois dans le lot de 25 paiements étudiés, et se démarque ainsi des autres. Cette adresse est active depuis le 8 mai. Au total, elle a reçu plus de 4,5 btc, soit près de 180 000 $. Les fonds reçus sur cette adresse ont été majoritairement transférés vers deux adresses appartenant chacune à un portefeuille distinct. Ces deux portefeuilles totalisent 7 adresses bitcoins dont il est raisonnable d’estimer qu’elles sont utilisées par le même affidé d’Avaddon. Sur le lot, les activités démarrent en mars. Et au total, plus de 270 000 $ ont été collectés.

Un autre acteur ayant travaillé au moins deux fois avec Avaddon au mois de mai semble avoir reçu au moins 4 paiements depuis le mois d’avril, pour un total de près de 50 000 $. Mais sur ceux-ci, au moins un fait ressortir un flux de fonds vers… l’une des adresses des deux portefeuilles mentionnés plus haut. De quoi suggérer au moins un lien entre les deux entités.

Pour approfondir sur Menaces informatiques

Close