Pesquisadores da Cisco Talos, trabalhando com a polícia holandesa, obtiveram uma ferramenta de descriptografia para a variante Tortilla do ransomware Babuk e compartilharam informações que levaram à prisão do operador do ransomware.
Tortilla é uma variante de ransomware do Babuk que surgiu no cenário digital logo após o código-fonte do malware original vazar em um fórum de hackers.
O agente de ameaças por trás disso tem como alvo os servidores Exchange da Microsoft com exploits ProxyShell para implementar o malware de criptografia de dados.
A Avast lançou um decifrador para Babuk um mês antes de a nova variante surgir, mas ele não funcionou para a criptografia Tortilla por que usava uma chave privada diferente.
Hoje, a Cisco Talos anunciou que, em cooperação com a polícia holandesa, obteve um decifrador que o operador do ransomware Tortilla forneceu às vítimas que pagaram o resgate.
Agindo com base em informações de ameaças da Cisco Talos, as autoridades policiais conseguiram identificar e prender em Amsterdã o agente de ameaças por trás da operação de ransomware Tortilla.
De acordo com os pesquisadores, o executável continha um único par de chaves público/privado que foi usado em todos os ataques.
Depois de extrair a chave, os analistas a compartilharam com a Avast para atualizar seu decifrador Babuk.
A Avast adicionou a chave de descriptografia da Tortilla às quatorze chaves ECDH-25519 do decifrador Babuk que foram obtidas do vazamento do código-fonte de 2021.
As vítimas da variante Babuk podem baixar a ferramenta de descriptografia genérica da Avast gratuitamente daqui.
A Cisco Talos observa que Tortilla não é a única operação que usou o código de ransomware Babuk para criptografar vítimas.
Desde dezembro de 2021, surgiram sete outras operações: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker e o Grupo RA.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...