Un alivio para la Lotería Nacional: Ahora podrán descifrar sus sistemas gratis por el cierre de operaciones del ransomware Avaddon

Hace unas semanas comenzó a correr el rumor de que el grupo de ransomware Avaddon había infectado los sistemas de la Lotería Nacional Mexicana, agencia pública dedicada a la organización de sorteos de azar. El gobierno mexicano negó tal ataque, pero los hackers incluso publicaron capturas de pantalla con información confidencial.

Los verdaderos problemas parecían estar por comenzar, aunque todo ha dado un giro inesperado esta semana, ya que los desarrolladores del ransomware Avaddon han decidido cerrar sus operaciones y entregar las claves de descifrado a una plataforma de ciberseguridad. Un experto en ciberseguridad recibió un mensaje anónimo con un enlace a un archivo ZIP protegido con contraseñas. El ZIP se titulaba “DECRYPTION KEYS RANSOMWARE AVADDON” y contenía tres archivos en su interior.

Este investigador compartió estos archivos con Fabian Wosar y Michael Gillespie, dos de los más reconocidos investigadores de ciberseguridad y ransomware. Los expertos probaron estas claves en una máquina virtual, confirmando que se trata de archivos legítimos para recuperar los sistemas comprometidos por los hackers de Avaddon. Como algunos recordarán, Gillespie es fundador de The No More Ransom Project, que reúne información sobre estos incidentes.

Los cibercriminales liberaron un total de 2 mil 934 claves de descifrado, cada una corresponde a una víctima única de este malware.

Emsisoft, firma para la que trabaja Wosar, lanzó una herramienta de descifrado gratuita para que los administradores de implementaciones afectadas puedan restablecer sus sistemas sin temor a pagar un rescate. Este mismo escenario se ha presentado con los operadores de otras variantes de ransomware, incluyendo TeslaCrypt, Crysis, AES-NI, Shade o FonixLocker.

Avaddon fue detectado por primera vez en junio de 2020 a través de una campaña de phishing desplegando un mensaje engañoso con un archivo malicioso adjunto. Con el paso de los años Avaddon se convirtió en una de las operaciones de ransomware más importantes, poniendo en jaque a las autoridades de países como E.U. y Australia.

En este momento, todos los sitios de Avaddon en la red Tor se encuentran fuera de servicio. Además, en las semanas recientes los operadores trataron de obtener todos los fondos posibles, presionando a las compañías afectadas para que entregaran al menos una parte de los rescates acordaos.

Expertos en ciberseguridad creen que esta decisión podría estar relacionada con las recientes decisiones del Gobierno de E.U., que ha decidido implementar severas medidas contra los grupos de ransomware después de los continuos ataques a su infraestructura informática.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).