.
Pesquisadores de segurança lançaram um descriptografador atualizado para a família de ransomware Babuk, fornecendo uma solução gratuita para vítimas da variante Tortilla.
Uma colaboração entre Cisco Talos, Avast e a polícia holandesa levou ao desenvolvimento do novo descriptografador e à prisão dos criminosos por trás da variante.
Segundo Cisco Talos, a polícia de Amesterdão prendeu o indivíduo por detrás de Babuk Tortilla e o Ministério Público holandês processou-o, embora nenhuma das instituições tenha publicado informações sobre o caso ou respondido a O Registo solicite detalhes.
A Cisco Talos disse que obteve o descriptografador Babuk Tortilla e o compartilhou com o Avast, que já hospeda o descriptografador genérico Babuk da indústria, agora atualizado para oferecer suporte às vítimas do Tortilla.
O braço infosec da gigante das redes não mencionou como adquiriu o descriptografador, mas disse que provavelmente foi desenvolvido com base no vazamento do código-fonte Babuk de 2021 – o mesmo vazamento que ajudou os pesquisadores a desenvolver o descriptografador genérico no mesmo ano.
A análise do descriptografador, agora disponível gratuitamente on-line, revelou que o operador da variante Tortilla decidiu não usar um par exclusivo de chave privada/pública para cada vítima, em vez de usá-lo em todos os ataques.
Avast disse que isso tornou a tarefa de atualizar o descriptografador genérico para suportar o Tortilla “simples” e que o uso de uma única chave privada para todas as vítimas significa que todas as vítimas do Tortilla podem se beneficiar do descriptografador.
Em vez de simplesmente lançar ao mundo o software de descriptografia obtido pelo Cisco Talos, foi tomada a decisão de extrair a chave privada e adicioná-la à lista de chaves suportadas pelo descriptografador existente. A simples liberação do descriptografador pode ter exposto as organizações a códigos não confiáveis, disse Vanja Svajcer, pesquisadora de divulgação da Cisco Talos.
O software de descriptografia obtido também é lento e menos eficiente que o descriptografador do Avast, devido à maneira como ele atravessa o sistema de arquivos.
As organizações podem baixar o descriptografador atualizado do Avast ou do projeto No More Ransom, administrado pela Europol, que também hospeda uma infinidade de descriptografadores para outras famílias de ransomware.
Antecedentes de Babuk
A família de ransomware Babuk surgiu em 2020 ou 2021, dependendo do fornecedor de segurança que você perguntar, e é descrita como “uma forma altamente avançada de ransomware desenvolvida para múltiplas plataformas, como Windows e Arm para Linux” pela SentinelOne.
Babuk é responsável por ataques aos setores de saúde e manufatura, bem como a infraestruturas críticas, e seu vazamento de código-fonte em 2021 levou ao surgimento de várias outras famílias de ransomware, todas baseadas no código Babuk vazado.
Acredita-se que pelo menos dez outros grupos de ransomware pegaram o código de Babuk e o usaram para criar famílias derivadas, incluindo Nokoyawa, AstraLocker 2.0, ESXiArgs, Team Daixin e HelloXD, entre outros.
A variante Tortilla, lançada em 2021, inicialmente tinha como alvo servidores Microsoft Exchange vulneráveis à exploração do ProxyShell.
“O ator usou uma técnica específica de cadeia de infecção onde um módulo intermediário de descompactação é hospedado em um clone pastebin.com, pastebin.pl”, disse Svajcer. “O estágio intermediário de descompactação foi baixado e decodificado na memória antes que a carga final incorporada na amostra original fosse descriptografada e executada.”
A análise da nota de resgate do Tortilla pela Avast revelou que ele usa criptografia AES-256 e uma cifra ChaCha8 para bloquear os arquivos das vítimas antes de exigir o pagamento no Monero – um token focado na privacidade que é mais difícil de rastrear do que o Bitcoin.
A nota vista pela Avast solicitava um pagamento de apenas US$ 10.000 – uma quantia que empalidece em comparação com a demanda média atual dos bandidos – embora relatórios em outros lugares tenham visto demandas do grupo significativamente maiores, mas ainda bem abaixo das normas atuais. ®
.
