11/01/24
Специалисты подразделения Cisco Talos совместно с нидерландской полицией достигли значительного прогресса в борьбе с киберпреступностью, обеспечив дешифровку вариации вируса-вымогателя Babuk, известного как «Тортилья» (Tortilla).
Это стало возможным благодаря захвату специального инструмента для дешифровки, который ранее предоставлялся оператором данного вируса жертвам, согласившимся на выплату выкупа, поясняет Securitylab. Сам захват инструмента, судя по всему, произошёл как раз после ареста оператора «Тортильи», проживающего в Амстердаме.
«Тортилья» появилась вскоре после того, как исходный код оригинального вируса Babuk утёк в сеть на хакерском форуме. Автор вариации этого вредоноса активно атаковал серверы Microsoft Exchange, используя уязвимости ProxyShell для распространения шифрующего вредоносного ПО.
Хотя Avast выпустила инструмент для дешифровки Babuk за месяц до появления «Тортильи», он оказался неэффективным против нового варианта из-за использования другого частного ключа.
Исследователи Talos выяснили, что исполняемый файл вируса содержал одну пару открытого/закрытого ключа, использовавшуюся во всех атаках. После извлечения ключа информация была передана в Avast для обновления их дешифратора Babuk.
Avast уже включила ключ дешифровки «Тортильи» в свой универсальный инструмент для дешифровки Babuk, содержащий также четырнадцать ключей ECDH-25519, полученных из утечки исходного кода 2021 года. Пострадавшие от «Тортильи» теперь могут бесплатно восстановить свои данные с помощью дешифратора от Avast.
В Cisco Talos подчёркивают, что «Тортилья» — не единственная операция, использовавшая код Babuk для шифрования данных жертв. С декабря 2021 года появились уже семь других вредоносных операций, использующих этот код: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker и RA Group.
