Los expertos en seguridad cibernética de Cisco Talos y Avast, trabajando junto con las fuerzas del orden en los Países Bajos, han colaborado para poner a disposición un descifrador para la variante Tortilla del infame ransomware Babuk, lo que permite a las víctimas comprometidas por la pandilla que se remonta a 2021 recuperar sus archivos. En una operación conjunta, la inteligencia proporcionada a la policía holandesa por Talos permitió a la fuerza identificar y detener al actor de amenazas detrás de Babuk Tortilla y procesarlo. Mientras tanto, como resultado de la operación, los investigadores de Talos pudieron conseguir la clave de descifrado privada de Tortilla, que posteriormente fue compartida con Avast Threat Labs, dado que el proveedor con sede en Chequia había lanzado previamente un descifrador estándar de facto de la industria para Babuk. Esto se hizo extrayendo la clave privada del descifrador y pasándola a Avast, para evitar exponer a los usuarios al código ejecutable creado por los autores del ransomware. «El descifrador Avast Babuk está optimizado para el rendimiento y permite a los usuarios recuperar sus archivos muy rápidamente si la variante Babuk utiliza una de las claves de descifrado privadas conocidas», escribió Vanja Svajcer, investigadora de Cisco Talos. “El descifrador inicial se lanzó en octubre de 2021 y ha contado con el apoyo activo de los ingenieros de Avast Threat Labs. «Su sencilla interfaz de usuario permite que incluso los usuarios con mínima experiencia en recuperación de ransomware comprendan fácilmente su uso y propósito», dijo. El descifrador actualizado ahora incluye todas las claves privadas conocidas, que se espera que permitan a muchos usuarios recuperar sus datos, dijo Cisco Talos. Ahora está disponible a través de NoMoreRansom, un proyecto conjunto entre la industria, la Unidad Nacional Holandesa contra Delitos de Alta Tecnología y el Centro Europeo de Ciberdelincuencia de Europol, así como a través del propio Avast. Leaky Babuk Según Svajcer, el descifrador obtenido por Talos probablemente se creó a partir de una filtración del código fuente y del generador de Babuk que se produjo a finales de 2021. Esta filtración puede haber comenzado con un informante descontento. La familia de ransomware Babuk surgió inicialmente ese mismo año y ganó rápidamente notoriedad gracias a una serie de ciberataques de alto perfil. El casillero en sí se puede compilar para varias plataformas de hardware y software diferentes, y las versiones más comúnmente observadas están dirigidas a Microsoft Windows y ARM para Linux. Descrito por Svajcer como “nefasto por su naturaleza”, cuando cifra el sistema de la víctima, interrumpe los procesos de copia de seguridad del sistema y elimina instantáneas de volumen. La filtración hizo que el código fuente del ransomware se utilizara más ampliamente en el mundo cibercriminal, y se han observado muchas otras operaciones usándolo y basándose en él. Svacjer dijo que un análisis reciente había encontrado 10 actores de amenazas diferentes usando alguna variante del casillero en la naturaleza. Algunos descendientes notables incluyen cepas como Nokoyawa, que explotó un sistema de archivos de registro común de Windows de día cero; EXSiArgs, que como su nombre indica, estaba dirigido a hipervisores VMware; y Rorschach, una mezcolanza que se inspira en muchos ransomwares diferentes, que desconcertó a los investigadores cuando surgió por primera vez en abril de 2023.

Source link