Des chercheurs de Cisco Talos travaillant avec la police néerlandaise ont obtenu un outil de décryptage pour la variante Tortilla du ransomware Babuk et ont partagé des renseignements qui ont conduit à l’arrestation de l’opérateur du ransomware.

Tortilla est une variante du ransomware Babuk qui a émergé dans la nature peu de temps après la fuite du code source du malware original sur un forum de pirates informatiques.

L’auteur de la menace derrière cela a ciblé les serveurs Microsoft Exchange avec des exploits ProxyShell pour déployer le malware de cryptage des données.

Avast a publié un décrypteur pour Babuk un mois avant l’apparition de la nouvelle variante, mais cela ne fonctionnait pas pour le cryptage Tortilla car il utilisait une clé privée différente.

Tortilla déverrouillée
Aujourd’hui, Cisco Talos a annoncé qu’en coopération avec la police néerlandaise, il avait obtenu un déchiffreur que l’opérateur du ransomware Tortilla fournissait aux victimes qui avaient payé la rançon.

Agissant sur les renseignements sur les menaces de Cisco Talos, les autorités chargées de l’application de la loi ont pu identifier et arrêter à Amsterdam l’acteur menaçant derrière l’opération de ransomware Tortilla.

Selon les chercheurs, l’exécutable contenait une seule paire de clés publique/privée qui a été utilisée dans toutes les attaques. Après avoir extrait la clé, les analystes l’ont partagée avec Avast pour mettre à jour leur décrypteur Babuk.

Fichiers cryptés par la variante Tortilla

Avast a ajouté la clé de déchiffrement Tortilla aux quatorze clés ECDH-25519 du déchiffreur Babuk qui ont été obtenues à partir de la fuite de code source de 2021.

Les victimes de la variante Babuk peuvent télécharger gratuitement l’outil de décryptage générique d’Avast à partir d’ici.

Cisco Talos note que Tortilla n’est pas la seule opération qui a utilisé le code du ransomware Babuk pour chiffrer les victimes. Depuis décembre 2021, sept autres opérations ont vu le jour: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker et le groupe RA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *