Il decrypter del Ransomware Babuk ora decifra anche la distro Tortilla

Cisco Talos, in collaborazione con la polizia olandese, ha compiuto progressi significativi nella lotta contro la criminalità informatica decrittando una variante del virus ransomware Babuk nota come Tortilla.

Ciò è stato possibile grazie alla cattura di uno speciale strumento di decrittazione precedentemente fornito dall’operatore di questo virus alle vittime che hanno accettato di pagare un riscatto. Il sequestro dello strumento stesso, a quanto pare, è avvenuto subito dopo che l’operatore Tortilla ad Amsterdam è stato eliminato.

“Tortilla” è apparso poco dopo che il codice sorgente di Babuk era trapelato online su un forum underground. L’autore di una variante di questo malware ha attaccato attivamente i server Microsoft Exchange, sfruttando le vulnerabilità di ProxyShell per distribuire malware crittografato.

Sebbene Avast abbia rilasciato uno strumento di decrittazione per il ransomware Babuk un mese prima del rilascio di Tortilla, questo si è rivelato inefficace contro la nuova variante a causa dell’utilizzo di una chiave privata diversa.

I ricercatori di Talos hanno scoperto che l’eseguibile del ransomware conteneva un’unica coppia di chiavi pubblica/privata utilizzata in tutti gli attacchi. Una volta estratta la chiave, le informazioni sono state trasmesse ad Avast per aggiornare il proprio decrypter di Babuk.

Avast ha già incluso la chiave di decrittazione “Tortilla” nel suo strumento di decrittazione universale per Babuk, che contiene anche quattordici chiavi ECDH-25519 ottenute dalla fuga di codice sorgente del 2021. Le vittime di tortilla ora possono recuperare i propri dati gratuitamente utilizzando un decryptor di Avast .

Cisco Talos sottolinea che Tortilla non è l’unica operazione che ha utilizzato il codice Babuk per crittografare i dati delle vittime. Da dicembre 2021 sono apparse altre sette operazioni RaaS che utilizzano questo codice: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker e RA Group.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.