Resumo:
A colaboração entre especialistas em cibersegurança e forças policiais leva à prisão do operador do ransomware Babuk Tortilla e ao desenvolvimento de um decryptor para as vítimas.
Introdução
O ransomware Babuk Tortilla, uma variante do já conhecido Babuk, representou um desafio significativo no cenário de cibersegurança. No entanto, uma operação bem-sucedida realizada pela polícia de Amsterdã, com a assistência de Cisco Talos e Avast, resultou na prisão do operador do ransomware e na criação de um decryptor, trazendo alívio para as vítimas afetadas.
Desenvolvimento
O Babuk Tortilla é uma variante do ransomware Babuk, que surgiu após o vazamento do código-fonte original do malware em um fórum hacker. Esta variante específica foi conhecida por atacar servidores Microsoft Exchange vulneráveis usando exploits ProxyShell.
Em uma operação conjunta, a polícia holandesa, agindo com base em informações fornecidas por Cisco Talos, conseguiu identificar, prender e processar o ator de ameaça responsável pelo Babuk Tortilla. Durante a operação policial em Amsterdã, a Cisco Talos obteve e analisou o decryptor, recuperando a chave de descriptografia e compartilhando-a com a Avast Threat Labs. Esta colaboração resultou na criação de um decryptor atualizado para a variante Tortilla, que agora inclui todas as chaves de descriptografia conhecidas do Babuk.
Características do Babuk Tortilla
Ataque a Servidores Exchange: O Babuk Tortilla inicialmente visava servidores Microsoft Exchange através da exploração da vulnerabilidade ProxyShell.
Uso de Chave Única: Ao contrário de outras variantes, o Babuk Tortilla usava um único par de chaves pública/privada para todos os seus ataques, o que facilitou a criação do decryptor.
Código-Fonte Vazado: A origem do Babuk Tortilla está ligada ao vazamento do código-fonte do Babuk em 2021, que também deu origem a outras famílias de ransomware.
Impacto e Recuperação
A prisão do operador do Babuk Tortilla e a disponibilidade do decryptor representam um marco importante na luta contra o ransomware. As vítimas dessa variante agora têm acesso a uma ferramenta para recuperar seus arquivos criptografados gratuitamente, disponível no site No More Ransom (www.nomoreransom.org) ou diretamente pelo site da Avast (www.avast.com).
Conclusão
A operação bem-sucedida contra o Babuk Tortilla destaca a importância da colaboração entre agências policiais e organizações de segurança cibernética. Este caso serve como um exemplo positivo de como a inteligência e recursos combinados podem levar à neutralização de ameaças cibernéticas e ao apoio às vítimas de ransomware
https://www.computerweekly.com/news/366565774/Babuk-Tortilla-ransomware-decryptor-made-available
https://www.theregister.com/2024/01/09/babuk_tortilla_decryptor_arrests/
https://blog.talosintelligence.com/decryptor-babuk-tortilla/
