Wspólna akcja Cisco Talos, Avast i policji pozwoliły stworzyć deszyfrator ransomware Babuk

12 stycznia, 2024

Zespół Cisco Talos, we współpracy z holenderską policją i firmą Avast, opracował deszyfrator plików z systemów zaatakowanych wariantem ransomware Babuk o nazwie Tortilla, które atakowało użytkowników i firmy ponad 2 lata temu.

Dlaczego tak długo?

Do skutecznego odszyfrowania danych po ich zaszyfrowaniu musi zostać spełniony co najmniej jeden warunek:

  • Organy policyjne np. Europol, które współpracują z firmami ds. bezpieczeństwa, wspólnymi siłami przejmują kontrolę nad serwerem, na którym znajdują się klucze deszyfrujące lub doprowadzają do aresztowania przestępcy. Prokuratura za współpracę często oferuje niższe wyroki.
  • Algorytm szyfrowania, który zastosowano w konkretnej odmianie, powinien mieć błędy w implementacji. Wówczas zachodzi prawdopodobieństwo, że ekspertom uda się opracować narzędzie deszyfrujące, które skorzysta z „luki” w złośliwym oprogramowaniu.
  • Algorytm szyfrowania zastosowany w ransomware nie powinien wykorzystywać do szyfrowania kryptografii klucza publicznego (np. RSA), co zdarza się bardzo rzadko.

W tym przypadku holenderska policja wykorzystała dane dostarczone przez Talos do wykrycia i zatrzymania cyberprzestępcy stojącego za tym złośliwym oprogramowaniem.

Podczas operacji policji w Amsterdamie Talos uzyskał i przeanalizował deszyfrator, odzyskał klucz deszyfrujący i udostępnił go inżynierom z Avast Threat Labs odpowiedzialnym za rozwój i utrzymanie deszyfratora dla kilku innych wariantów Babuk.

Dekryptor Avasta był już używany przez większość poszkodowanych jako standardowy dekryptor Babuk.

Użytkownicy mogą uzyskać dostęp do deszyfratora za pomocą poprzez stronę NoMoreRansom. Narzędzie zawierający wszystkie obecnie znane klucze Babuk, wiec nie ma potrzeby wybierania wersji deszyfratora dla odpowiedniego wariantu  ransomware.

Narzędzie dostępne jest na stronie w wyszukiwarce (wpisz „babuk”):

https://www.nomoreransom.org/pl/decryption-tools.html

babuk ransomware

Kod źródłowy Babuk podstawą wielu wariantów ransomware

Ransomware Babuk pojawił się w 2021 r., zyskując rozgłos dzięki głośnym atakom na branże takie jak opieka zdrowotna, produkcja, logistyka oraz na administrację. Oprogramowanie można skompilować na kilka platform sprzętowych i programowych. Kompilacja jest konfigurowana przy pomocy kreatora ransomware.

Babuk szyfruje maszynę ofiary, przerywa proces tworzenia kopii zapasowej systemu i usuwa kopie woluminów w tle.

Kod źródłowy wyciekł na podziemnym forum we wrześniu 2021 roku za sprawą domniemanego insidera, umożliwiając innym cyberprzestępcom wykorzystanie i potencjalne ulepszenie ransomware oraz zwiększenie poziomu zagrożenia dla firm i organizacji na całym świecie.

Cisco Talos niedawno przeanalizował operacje grupy RA ransomware, która zaatakowała sieć ALAB laboratoria.

W danych telemetrycznych z 12 października 2021 r. Cisco Talos wykryło kampanię Tortilla, której celem były serwery Microsoft Exchange i próba wykorzystania luki w zabezpieczeniach ProxyShell w celu uruchomienia oprogramowania ransomware Babuk w środowisku ofiary.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]