Исследователи из Cisco Talos, сотрудничающие с голландской полицией, получили инструмент для расшифровки Tortilla варианта Babuk ransomware и поделились информацией, которая позволила арестовать оператора этой программы.
Tortilla – это вариант Babuk ransomware, появившийся в природе вскоре после утечки исходного кода оригинальной вредоносной программы на одном из хакерских форумов.
Угрожающий агент, стоящий за ней, нацелился на серверы Microsoft Exchange с помощью эксплойтов ProxyShell для развертывания вредоносной программы, шифрующей данные.
Аваст выпустил дешифратор для Babuk за месяц до появления нового варианта, но он не работает для шифрования Tortilla, поскольку использует другой закрытый ключ.
Tortilla разблокирована
Cisco Talos объявила что в сотрудничестве с голландской полицией был получен дешифратор, который оператор Tortilla предоставил жертвам, заплатившим выкуп.
На основе данных об угрозах, полученных от Cisco Talos, правоохранительным органам удалось выявить и арестовать в Амстердаме исполнителя угроз, стоявшего за операцией по распространению вымогательского ПО Tortilla.
По словам исследователей, исполняемый файл содержал единственную пару открытых и закрытых ключей, которая использовалась во всех атаках. После извлечения ключа аналитики передали его компании Avast для обновления расшифровщика Babuk.
Avast добавил ключ расшифровки Tortilla в расшифровщика Babuk четырнадцать ключей ECDH-25519, полученных в результате утечки исходного кода в 2021 году.
Жертвы варианта Babuk могут бесплатно загрузить инструмент расшифровки Avast отсюда.
Cisco Talos отмечает, что Tortilla – не единственная операция, в которой для шифрования жертв использовался код Babuk ransomware. С декабря 2021 года появилось еще семь операций: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker и RA Group.
Комментарии (0)