Hollanda’daki kolluk kuvvetleriyle birlikte çalışan Cisco Talos ve Avast’taki siber güvenlik uzmanları, kötü şöhretli Babuk fidye yazılımının Tortilla versiyonu için bir şifre çözücü sunmak üzere iş birliği yaptı. Bu kod çözücü, 2021’den beri çete tarafından ele geçirilen kurbanların dosyalarını kurtarmasına olanak tanıyor.
Ortak bir operasyonda, Talos tarafından Hollanda polisine sağlanan istihbarat, gücün Babuk Tortilla’nın arkasındaki tehdit aktörünü tespit edip gözaltına almasını ve hakkında dava açmasını sağladı.
Bu arada, saldırının bir sonucu olarak Talos araştırmacıları, Çekya merkezli tedarikçinin daha önce Tortilla için fiili endüstri standardı bir şifre çözücü yayınlamış olması nedeniyle daha sonra Avast Threat Labs ile paylaşılan Tortilla’ya ait özel şifre çözme anahtarını ele geçirmeyi başardılar. Babük.
Bu, herhangi bir kullanıcının fidye yazılımının yazarları tarafından oluşturulan yürütülebilir koda maruz kalmasını önlemek amacıyla şifre çözücüden özel anahtarın çıkarılması ve bunu Avast’a iletilmesiyle yapıldı.
Cisco Talos araştırmacısı Vanja Svajcer, “Avast Babuk şifre çözücü performans için optimize edilmiştir ve Babuk varyantı bilinen özel şifre çözme anahtarlarından birini kullanıyorsa kullanıcıların dosyalarını çok hızlı bir şekilde kurtarmalarına olanak tanır” diye yazdı. “İlk şifre çözücü Ekim 2021’de yayınlandı ve Avast Threat Labs mühendisleri tarafından aktif olarak desteklendi.
“Basit kullanıcı arayüzü, fidye yazılımı kurtarma konusunda minimum deneyime sahip kullanıcıların bile kullanımını ve amacını kolayca anlamasına olanak tanıyor” dedi.
Cisco Talos, güncellenen şifre çözücünün artık bilinen tüm özel anahtarları içerdiğini ve bunun birçok kullanıcının verilerini almasına olanak sağlayacağını umduğunu söyledi. Artık endüstri, Hollanda Ulusal Yüksek Teknoloji Suç Birimi ve Europol’ün Avrupa Siber Suç Merkezi’nin yanı sıra Avast’ın ortak projesi olan NoMoreRansom aracılığıyla da edinilebiliyor.
sızdıran Babu
Svajcer’e göre Talos’un ele geçirdiği şifre çözücü, büyük olasılıkla Babuk’un kaynak kodu ve jeneratörünün 2021 sonlarında meydana gelen bir sızıntısından oluşturulmuş. Bu sızıntı içeriden hoşnutsuz bir kişiyle başlamış olabilir.
Babuk fidye yazılımı ailesi ilk olarak aynı yılın başlarında ortaya çıktı ve bir dizi yüksek profilli siber saldırı sayesinde hızla ün kazandı.
Dolabın kendisi birkaç farklı donanım ve yazılım platformu için derlenebilir; en sık gözlemlenen sürümler Microsoft Windows’u ve Linux için ARM’i hedef alır.
Svajcer tarafından “doğası gereği hain” olarak tanımlanan bu yazılım, kurbanın sistemini şifrelediğinde sistem yedekleme işlemlerini kesintiye uğratıyor ve birim gölge kopyalarını siliyor.
Sızıntı, fidye yazılımının kaynak kodunun siber suç yeraltında daha yaygın şekilde kullanıldığını ve diğer birçok operasyonun bu kodu kullandığı ve üzerine inşa ettiği gözlemlendi. Svacjer, son analizlerde dolabın bazı çeşitlerini vahşi ortamda kullanan 10 farklı tehdit aktörünün bulunduğunu söyledi.
Bazı dikkate değer torunlar arasında Windows Ortak Günlük Dosya Sistemi sıfır gün sisteminden yararlanan Nokoyawa gibi türler yer alıyor; Adından da anlaşılacağı gibi VMware hipervizörlerini hedef alan EXSiArgs; ve birçok farklı fidye yazılımından ilham alan, Nisan 2023’te ilk ortaya çıktığında araştırmacıları şaşırtan karmakarışık Rorschach.