Hollanda polisiyle birlikte çalışan Cisco Talos’tan araştırmacılar, Babuk fidye yazılımının Tortilla versiyonu için bir şifre çözme aracı elde etti ve fidye yazılımı operatörünün tutuklanmasına yol açan istihbaratı paylaştı.
Tortilla, orijinal kötü amaçlı yazılımın kaynak kodunun bir hacker forumunda sızdırılmasından kısa bir süre sonra ortaya çıkan bir Babuk fidye yazılımı çeşididir.
Bunun arkasındaki tehdit aktörü, veri şifreleyen kötü amaçlı yazılımı dağıtmak için ProxyShell açıklarından yararlanan Microsoft Exchange sunucularını hedefliyor.
Avast, yeni varyant ortaya çıkmadan bir ay önce Babuk için bir şifre çözücü yayınladı ancak farklı bir özel anahtar kullandığından Tortilla şifrelemesinde işe yaramadı.
Tortillanın kilidi açıldı
Bugün Cisco Talos, Hollanda polisiyle işbirliği yaparak Tortilla fidye yazılımı operatörünün fidyeyi ödeyen kurbanlara sağladığı şifre çözücüyü elde ettiğini duyurdu.
Cisco Talos’tan gelen tehdit istihbaratına dayanarak hareket eden kolluk kuvvetleri, Tortilla fidye yazılımı operasyonunun arkasındaki tehdit aktörünü Amsterdam’da tespit edip tutuklayabildi.
Araştırmacılara göre yürütülebilir dosya, tüm saldırılarda kullanılan tek bir genel/özel anahtar çifti içeriyordu. Anahtarı çıkardıktan sonra analistler, Babuk şifre çözücüyü güncellemek için bunu Avast ile paylaştı.
Avast, Babuk şifre çözücünün 2021 kaynak kodu sızıntısından elde edilen on dört ECDH-25519 anahtarına Tortilla şifre çözme anahtarını ekledi.
Babuk varyantının kurbanları Avast’ın genel şifre çözme aracını buradan ücretsiz olarak indirebilir.
Cisco Talos, kurbanları şifrelemek için Babuk fidye yazılımı kodunu kullanan tek operasyonun Tortilla olmadığını belirtiyor. Aralık 2021’den bu yana yedi operasyon daha ortaya çıktı: Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker ve RA Group.