Actif depuis 2019, avec le lancement d’une campagne de spam, il s’agissait d’un groupe de rançongiciels qui évoluait probablement depuis la Communauté des États indépendants (anciens pays du bloc soviétique), et qui s’est développé jusqu’à devenir une opération de Ransomware-as-a-Service (RaaS) à part entière.
Comme la plupart des entreprises RaaS, ses opérateurs chiffraient les données et exfiltraient des informations importantes, puis menaçaient la victime de les mettre en ligne si une rançon n’était pas payée. Avaddon a également utilisé d’autres tactiques d’extorsion en menaçant les entreprises victimes d’attaques DDoS dévastatrices si elles ne payaient pas. Dans le collimateur des forces de l’ordre aux États-Unis et en Australie, le groupe de cybercriminels a donc fermé boutique et a publié ses clés de déchiffrement sur BleepingComputer – 2 934 au total – chaque clé appartenant à une victime individuelle
Selon différents experts, la rançon moyenne demandée par le groupe était d’environ 40 000 $, à se partager entre les parties-prenantes, à savoir les opérateurs et les pirates qui procèdent effectivement à l’attaque.
Récemment, face à des opérations conjointes des forces de police et de la justice à l’échelle internationale, Maze et DarkSide ont également été contraints de fermer leurs portes. Mais selon Bitdefender, qui a publié un outil de déchiffrement pour le ransomware Avaddon, ” cette bonne nouvelle ne sera probablement que de courte durée, car la concurrence est féroce dans l’espace RaaS et d’autres fournisseurs de RaaS combleront rapidement le vide. Historiquement, à moins que ces extorqueurs ne soient trouvés, poursuivis et emprisonnés, ils réapparaissent quelques mois plus tard sous une nouvelle apparence“.