Ερευνητές από τη Cisco Talos
που
συνεργάζονται με την ολλανδική αστυνομία απέκτησαν ένα εργαλείο αποκρυπτογράφησης για την παραλλαγή Tortilla
του
ransomware Babuk και μοιράστηκαν πληροφορίες που οδήγησαν στη σύλληψη του χειριστή του ransomware.
Το Tortilla είναι μια παραλλαγή ransomware Babuk που εμφανίστηκε στη φύση λίγο μετά τη
διαρροή
του πηγαίο κώδικα του αρχικού κακόβουλου λογισμικού σε ένα φόρουμ χάκερ.
Ο παράγοντας απειλής πίσω από αυτό στοχεύει διακομιστές Microsoft Exchange με εκμεταλλεύσεις ProxyShell για την ανάπτυξη του κακόβουλου λογισμικού κρυπτογράφησης δεδομένων.
Η Avast κυκλοφόρησε έναν αποκρυπτογραφητή για το Babuk ένα μήνα πριν εμφανιστεί η νέα παραλλαγή, αλλά δεν λειτούργησε για την κρυπτογράφηση Tortilla επειδή χρησιμοποιούσε διαφορετικό ιδιωτικό κλειδί.
Η τορτίγια ξεκλείδωτη
Σήμερα,
Η Cisco Talos ανακοίνωσε
ότι, σε συν
εργασία
με την ολλανδική αστυνομία, απέκτησε έναν αποκρυπτογραφητή που παρείχε ο χειριστής ransomware Tortilla στα θύματα που πλήρωσαν τα λύτρα.
Ενεργώντας βάσει πληροφοριών απειλών από τη Cisco Talos, οι αρχές επιβολής του νόμου κατάφεραν να εντοπίσουν και να συλλάβουν στο Άμστερνταμ τον παράγοντα απειλής πίσω από την επιχείρηση ransomware Tortilla.
Σύμφωνα με τους ερευνητές, το εκτελέσιμο περιείχε ένα μόνο ζεύγος δημόσιου/ιδιωτικού κλειδιού που χρησιμοποιήθηκε σε όλες τις επιθέσεις. Μετά την εξ
αγωγή
του κλειδιού, οι αναλυτές το μοιράστηκαν με την Avast για να ενημερώσουν τον αποκρυπτογραφητή Babuk τους.
Αρχεία κρυπτογραφημένα από την παραλλαγή Tortilla
(Avast)
Avast
πρόσθεσε το κλειδί αποκρυπτογράφησης Tortilla
στα δεκατέσσερα κλειδιά ECDH-25519 του αποκρυπτογραφητή Babuk που ελήφθησαν από τη διαρροή πηγαίου κώδικα του 2021.
Τα θύματα της παραλλαγής Babuk μπορούν να κατεβάσουν δωρεάν το γενικό εργαλείο αποκρυπτογράφησης της Avast
από εδώ
.
Η Cisco Talos σημειώνει ότι η Tortilla δεν είναι η μόνη επιχείρηση που χρησιμοποίησε τον κώδικα ransomware Babuk για την κρυπτογράφηση των θυμάτων. Από τον Δεκέμβριο του 2021, εμφανίστηκαν άλλες επτά επιχειρήσεις: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker και ο Όμιλος RA.
VIA:
bleepingcomputer.com
