{
	"id": "e83274f7-0b0e-4b46-bea2-6cd4e3552eeb",
	"created_at": "2026-04-06T00:11:11.839333Z",
	"updated_at": "2026-04-10T03:21:41.778533Z",
	"deleted_at": null,
	"sha1_hash": "ee862a1f0fdcfb239a90090e4fd68cb131aba379",
	"title": "Ransomware Avaddon: principales características",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 607342,
	"plain_text": "Ransomware Avaddon: principales características\r\nBy Facundo Muñoz\r\nArchived: 2026-04-05 21:52:58 UTC\r\nRansomware\r\nAnalizamos cuáles son las principales características del ransomware Avaddon a partir de alguna de las muestras\r\nde este malware analizadas durante el segundo trimestre de 2021.\r\n31 May 2021  •  , 7 min. read\r\nActualizado el 14 de junio de 2021\r\nEl ransomware Avaddon cerró sus operaciones el 11 de junio y compartió las claves de descifrado para que las\r\nvíctimas que no pagaron puedan recuperar sus archivos del cifrado de manera gratuita. El grupo detrás de\r\nAvaddon envió las claves al portal BleepingComputer, el cual a su vez compartió las claves con investigadores de\r\nseguridad de Emsisoft y Coverware que confirmaron su legitimidad y crearon un descifrador que está disponible\r\npara su descarga aquí. En total, los atacantes enviaron 2.934 claves de descifrado. Cada una de estas claves\r\ncorresponde a una víctima en particular.\r\nQué es Avaddon\r\nAvaddon es un ransomware cuyos primeros ataques fueron detectados a finales del año 2019  y que a mediados\r\ndel 2020 comenzó a reclutar afiliados en foros de hacking para su programa de Ransomware-as-a-Service (RaaS),\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 1 of 9\n\nofreciendo múltiples opciones y amplia capacidad para ser configurado para el servicio. Los ataques de Avaddon\r\nhan afectado a empresas y organizaciones de todo el mundo, incluidos varios países de América Latina.\r\nLectura relacionada: Crecen las víctimas del ransomware Avaddon en América Latina\r\nMuchos grupos de ransomware adoptaron la modalidad extorsiva del doxing; es decir, el robo de información de\r\nlos sistemas comprometidos previo al cifrado para luego amenazar a las víctimas con publicar la información en\r\ncaso de no querer llegar a un acuerdo para el pago del rescate. En el caso de Avaddon, si bien de acuerdo con las\r\nmuestras analizadas y los hashes públicos que observamos no detectamos la capacidad de robar información desde\r\nel equipo infectado, los operadores detrás de este ransomware cuentan con un sitio en la red TOR creado\r\nprincipalmente para este fin en el que publicaron supuesta información de las víctimas.\r\nAdemás del doxing, otra estrategia extorsiva que el grupo dice llevar adelante son los ataques de DDoS sobre los\r\nsitios de las víctimas para de esta manera interrumpir el funcionamiento y que los usuarios no puedan acceder.\r\nPor último, una vez que Avaddon logra acceso a una red realiza primero tareas de reconocimiento para identificar\r\nprincipalmente bases de datos, backup y copias shadow, y también buscando la forma escalar privilegios dentro de\r\nla red.\r\nSegún publicó el Centro de Ciberseguridad de Australia en mayo de 2021, el monto promedio que solicitan los\r\natacantes para recuperar los archivos es de 0.73  bitcoins, que equivale aproximadamente 40.000 dólares.\r\nTabla de contenidos en este artículo:\r\n \r\nPrincipales características del ransomware Avaddon\r\nCómo se distribuye Avaddon\r\nMecanismos para lograr establecer persistencia\r\nCifrado de archivos de este ransomware\r\nConsejos para prevenir un incidente\r\nPrincipales características del ransomware Avaddon\r\nEstas son algunas de sus principales características:\r\nComo vector de propagación suele utilizar correos de phishing que buscan engañar al usuario haciéndole\r\ncreer que hay una imagen comprometedora de ellos en el adjunto, aunque también se ha visto utilizar en\r\nsus comienzos archivos Excel con macros maliciosas, y más adelante hacer uso de credenciales de acceso\r\ndébiles en servicios de acceso remoto, como RDP y redes VPN.\r\nDesarrollado en C++ y no utiliza herramientas de empaquetado ni ofuscación.\r\nUtiliza técnicas para dificultar el análisis: anti-VM, anti-debugging, utilización de tablas de strings cifradas\r\nencapsuladas en objetos.\r\nBusca archivos en discos locales y discos de red, teniendo como prioridad el cifrado de bases de datos.\r\nDoble cifrado con combinación de algoritmos AES-256 y RSA-2048.\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 2 of 9\n\nLos archivos cifrados en la muestras analizadas quedan con una extensión generalmente de 10 caracteres\r\ncomo .BeCecbaDBB, aunque se han visto que en las primeras los archivos quedaban con otras extensiones\r\ncomo .avdn.\r\nTermina procesos que puedan impedir el cifrado de archivos.\r\nUtiliza comandos de Windows para eliminar copias de seguridad del sistema, y copias shadow.\r\nCómo se distribuye Avaddon\r\nEl método de distribución qué más se ha visto en el caso de Avaddon es a través de correos de phishing que\r\nincluyen un archivo JScript malicioso adjunto que utiliza una segunda extensión “.ZIP” para hacerle creer a la\r\npotencial víctima que se trata de un archivo comprimido que contiene una foto comprometedora que ha sido\r\ndescubierta en la web. El código JScript a su vez ejecuta comandos de Powershell para descargar el ransomware\r\nde un servidor web y guardarlo en el directorio %TEMP% del equipo de la víctima para luego ejecutar el\r\nmalware.\r\nImagen 1. Ejemplo de correo de phishing que contiene adjunto malicioso.\r\nCabe destacar que una vez ejecutado el ransomware, este no llevara a cabo sus funciones en el equipo\r\ncomprometido si este posee una configuración de lenguaje del teclado o si el identificador del lenguaje del sistema\r\nes de alguno de los países que conforman la Comunidad de Estados Independientes, principalmente el ruso.\r\nMecanismos para lograr establecer persistencia\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 3 of 9\n\nAntes de establecer persistencia en el sistema, Avaddon intenta elevar sus privilegios a través de un bypass en el\r\nUser Account Control (UAC), que es bien conocido y ha sido utilizado por varias familias de malware. Si tiene\r\néxito, se copia así mismo en la carpeta AppData\\Roaming del usuario actual.\r\nUtiliza dos tipos de métodos para ser ejecutado en el próximo inicio del sistema, o cuando la víctima inicia sesión\r\nen el sistema:\r\nRegistrando una Tarea Programada (Scheduled Task)\r\nRegistrandose en {HKLM|HKU}\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\r\nCifrado de archivos de este ransomware\r\nUna vez concluido el proceso de persistencia, Avaddon prepara el sistema terminando los procesos que puedan\r\ninterferir con el acceso a los archivos. Para esto descifra dos listas de nombres asociados a software tales como:\r\nMicrosoft SQL, Microsoft Word, QuickBooks, Remotely Anywhere, VMWare, y Java entre otros, así como\r\ntambién tres soluciones de seguridad: Symantec, 360 Secure Browser, G Data Security Software. Los nombres de\r\nestos procesos son:\r\nDefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8,\r\nsqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter,\r\nVMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter,\r\nmsmdsrv, tomcat6, QBCFMonitorService\r\nexe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe,\r\nwxServerView.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, axlbridge.exe,\r\n360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe,\r\ntomcat6.exe, java.exe, wdswfsafe.exe\r\nLuego utiliza varias herramientas de Windows para ejecutar comandos con el fin de borrar los backups de\r\nseguridad, y copias shadow:\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 4 of 9\n\nImagen 2. Comandos ejecutados por Avaddon.\r\nFinalmente, utiliza la API SHEmptyRecycleBinW para eliminar los contenidos de la papelera de reciclaje para\r\nevitar que el usuario pueda recuperar algún archivo o versión previa de algún archivo que la víctima haya\r\neliminado con anterioridad.\r\nAvaddon comienza el proceso de cifrado de archivos en el disco local y discos de red, evitando los siguientes\r\ndirectorios:\r\nC:\\PERFLOGS\r\nC:\\PROGRAM FILES (X86), C:\\PROGRAM FILES, C:\\PROGRAMDATA\r\nC:\\USERS\\{Nombre de usuario}\\APPDATA\r\nC:\\USERS\\{Nombre de usuario}\\APPDATA\\LOCAL\\TEMP\r\nC:\\USERS\\PUBLIC\r\nC:\\WINDOWS\r\nLos archivos que encuentra son descartados por su extensión, a fin de evitar cifrar archivos que puedan causar\r\nfallos en el sistema:\r\n.exe, .bin, .sys, .ini, .dll, .lnk, .dat, .drv, .rdp, .prf, .swp\r\nTambién tiene un listado de extensiones las cual son de alta prioridad, estas pertenecen archivos relacionados con\r\nbase de datos SQL:\r\n.mdf, .mds, .sql\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 5 of 9\n\nLos datos son cifrados utilizando una combinación de AES-256 y RSA-2048. Los datos cifrados se reescriben en\r\nel archivo original y se añade al final un marcador de cifrado que le permite a Avaddon evitar archivos que ya han\r\nsido cifrados previamente, así como también identificar los archivos cifrados y descifrarlos si la victima paga para\r\nobtener el descifrador que ofrecen los criminales.\r\nImagen 3. Función de cifrado en Avaddon.\r\nEn las muestras que analizamos, los archivos que son cifrados correctamente son renombrados con la extensión\r\n.BeCecbaDBB. Como podemos observar en la Imagen 4, el tipo de archivos que comúnmente cifra son\r\ndocumentos, imágenes, archivos de audio y archivos de video.\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 6 of 9\n\nImagen 4. Vista de una carpeta con varios tipos de archivos que fueron cifrados por Avaddon.\r\nFinalmente, el ransomware crea un archivo .TXT que contiene la nota de rescate {aleatorio}_readme_.txt como\r\npodemos observar en la Imagen 5.\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 7 of 9\n\nImagen 5. Nota de rescate de Avaddon en texto plano que es utilizada por varias configuraciones.\r\nHay otros casos donde la nota es un archivo .HTML con una estética muy similar a la que utilizan en el sitio web\r\nde Avaddon.\r\nImagen 6. Nota de rescate de otras versiones de Avaddon. (Fuente: @GrujaRS)\r\nConsejos para prevenir un incidente\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 8 of 9\n\nConsiderando que la idea de pagar no debería ser la primera opción, ya que no solo es imposible saber si\r\nefectivamente los criminales proporcionarán el descifrador o no y que como ya se ha mencionado en reiteradas\r\noportunidades pagando estimulamos la actividad criminal al hacer que sea rentable para los atacantes, la primera\r\nopción tanto para empresas como usuarios debería ser la prevención.\r\nLectura recomendada: 11 formas de protegerte del ransomware\r\nTeniendo esto en cuenta, algunas recomendaciones son.\r\nHacer backup de la información de manera periódica\r\nInstalar una solución de seguridad confiable\r\nUtilizar una solución de cifrado de archivos\r\nCapacitar al personal sobre los riesgos que existen en Internet y cómo evitarlos\r\nMostrar las extensiones ocultas de los archivos por defecto\r\nAnalizar los adjuntos de correos electrónicos\r\nDeshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData\r\nDeshabilitar RDP cuando no sea necesario\r\nActualizar el software de dispositivos de escritorio, móviles y de red\r\nCrear políticas de seguridad y comunicarlas a los empleados\r\nSource: https://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nhttps://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.welivesecurity.com/la-es/2021/05/31/ransomware-avaddon-principales-caracteristicas/"
	],
	"report_names": [
		"ransomware-avaddon-principales-caracteristicas"
	],
	"threat_actors": [],
	"ts_created_at": 1775434271,
	"ts_updated_at": 1775791301,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ee862a1f0fdcfb239a90090e4fd68cb131aba379.pdf",
		"text": "https://archive.orkl.eu/ee862a1f0fdcfb239a90090e4fd68cb131aba379.txt",
		"img": "https://archive.orkl.eu/ee862a1f0fdcfb239a90090e4fd68cb131aba379.jpg"
	}
}