Babuk fidye yazılımının Tortilla versiyonu için bir şifre çözücü, Cisco Talos tarafından piyasaya sürüldü ve kötü amaçlı yazılımın hedef aldığı kurbanların dosyalarına yeniden erişmesine olanak tanıdı.
Siber güvenlik firması, Hollandalı kolluk kuvvetleriyle paylaştığı tehdit istihbaratının, operasyonların arkasındaki tehdit aktörünün tutuklanmasını mümkün kıldığını söyledi.
Şifreleme anahtarı, daha önce Eylül 2021’de kaynak kodu sızdırıldıktan sonra Babuk fidye yazılımı için bir şifre çözücü yayınlayan Avast ile de paylaşıldı. Güncellenen şifre çözücüye buradan erişilebilir. [EXE file].
Avast, “Tortilla tehdit aktörünün tüm kurbanları için tek bir özel anahtar kullanılıyor” dedi. “Bu, şifre çözücünün güncellemesini özellikle faydalı kılıyor, çünkü kampanyanın tüm kurbanları bunu dosyalarının şifresini çözmek için kullanabilir.”
Tortilla kampanyası ilk olarak Kasım 2021’de Talos tarafından ifşa edildi; saldırılar, fidye yazılımını kurban ortamlarına bırakmak için Microsoft Exchange sunucularındaki ProxyShell kusurlarından yararlanıyordu.
Tortilla, dosya şifreleme kötü amaçlı yazılımlarını sızdırılan Babuk kaynak koduna dayandıran birçok fidye yazılımı çeşidinden biridir. Buna Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0, ESXiArgs, Rorschach, RTM Locker ve RA Group dahildir.
Bu gelişme, Alman siber güvenlik firması Security Research Labs’ın (SRLabs), bir dosyayı kısmen veya tamamen kurtarmak için kriptografik bir zayıflıktan yararlanarak Black Basta Buster adlı Black Basta fidye yazılımı için bir şifre çözücü yayınlamasının ardından geldi.
SRLabs, “64 şifrelenmiş baytlık düz metin biliniyorsa dosyalar kurtarılabilir” dedi. “Bir dosyanın tamamen veya kısmen kurtarılabilir olması, dosyanın boyutuna bağlıdır.”
“5000 byte’ın altındaki dosyalar kurtarılamaz. Boyutu 5000 byte ile 1GB arasındaki dosyalar için tam kurtarma mümkündür. 1GB’tan büyük dosyaların ilk 5000 byte’ı kaybolur ancak geri kalanı kurtarılabilir.”
Bleeping Computer geçen ayın sonlarında Black Basta geliştiricilerinin sorunu çözdüğünü ve aracın daha yeni enfeksiyonlarla çalışmasını engellediğini bildirdi.