Zespół Cisco Talos, we współpracy z holenderską policją i firmą Avast, zdobył deszyfrator plików z systemów zaatakowanych wariantem ransomware Babuk o nazwie Tortilla. Program stanowił zagrożenie od ponad dwóch lat, a pierwsze przypadki tej formy ataków Cisco Talos opisywał jeszcze w listopadzie 2021 roku.
Holenderska policja wykorzystała dane wywiadowcze dostarczone przez Talos do wykrycia i zatrzymania cyberprzestępcy stojącego za tym złośliwym oprogramowaniem. Podczas operacji policji w Amsterdamie Talos uzyskał i przeanalizował deszyfrator, odzyskał klucz deszyfrujący i udostępnił go inżynierom z Avast Threat Labs odpowiedzialnym za rozwój i utrzymanie deszyfratora dla kilku innych wariantów Babuk.
– Dekryptor Avasta był już używany przez większość poszkodowanych jako standardowy dekryptor Babuk, stąd decyzja o zaktualizowaniu tego rozwiązania o klucze zdobyte przez Talos – komentuje Vanja Svajer z Cisco Talos. – W ten sposób użytkownicy mogą uzyskać dostęp do programów takich jak NoMoreRansom, aby pobrać pojedynczy deszyfrator zawierający wszystkie obecnie znane klucze Babuk i nie muszą wybierać między konkurencyjnymi deszyfratorami dla poszczególnych wariantów.
Kod źródłowy Babuk podstawą wielu wariantów ransomware
Ransomware Babuk pojawił się w 2021 r., zyskując rozgłos dzięki głośnym atakom na branże takie jak opieka zdrowotna, produkcja, logistyka oraz na administrację. Oprogramowanie można skompilować na kilka platform sprzętowych i programowych. Kompilacja jest konfigurowana za pomocą kreatora ransomware.
Babuk szyfruje maszynę ofiary, przerywa proces tworzenia kopii zapasowej systemu i usuwa kopie woluminów w tle. Kod źródłowy wyciekł na podziemnym forum we wrześniu 2021 roku za sprawą domniemanego insidera, umożliwiając innym cyberprzestępcom wykorzystanie i potencjalne ulepszenie ransomware oraz zwiększenie poziomu zagrożenia dla firm i organizacji na całym świecie.
Cisco Talos niedawno przeanalizował operacje grupy RA ransomware i innych grup opierających swoje ransomware na kodzie źródłowym Babuk, dokumentując 10 różnych podmiotów wykorzystujących go.
W danych telemetrycznych z 12 października 2021 r. Cisco Talos wykryło kampanię Tortilla, której celem były serwery Microsoft Exchange i próba wykorzystania luki w zabezpieczeniach ProxyShell w celu uruchomienia oprogramowania ransomware Babuk w środowisku ofiary.
Przestępcy wykorzystali wtedy specyficzną technikę łańcucha infekcji, w której pośredni moduł rozpakowywania był hostowany na klonie domeny pastebin.com, pastebin.pl. Pośredni etap rozpakowywania był pobierany i dekodowany w pamięci, zanim ostateczny pakiet osadzony w oryginalnej próbce został odszyfrowany i wykonany.
Korzystając z narzędzi cyberprzestępców
Deszyfrator Babuk Tortilla zdobyty przez Cisco Talos został prawdopodobnie stworzony na podstawie ujawnionego kodu źródłowego Babuk. Cyberprzestępca, który chce użyć zestawu narzędzi ransomware, musi wygenerować klucz publiczny i prywatny do wykorzystania w operacji. Zestaw kluczy może być również na nowo generowany dla każdej kampanii, ale obecnie nie jest pewne czy w innych atakach w ramach kampanii Tortilla były używane inne klucze – dotychczas we wszystkich atakach była stosowana ta sama para kluczy.
Klucz publiczny jest zawarty w pakiecie ransomware, gdzie jest używany w procesie infekcji do szyfrowania symetrycznego klucza szyfrowania/deszyfrowania. Ten jest następnie dołączany na końcu każdego zaszyfrowanego pliku wraz ze znacznikiem szyfrowania i dodatkowymi metadanymi. Pozwala to konkretnemu deszyfratorowi rozpoznać, że plik jest zaszyfrowany i odszyfrować klucz symetryczny przy użyciu klucza prywatnego osadzonego w treści specjalnie spreparowanego narzędzia deszyfrującego stworzonego przez napastnika.
Proces deszyfrowania wykorzystywany przez oryginalny deszyfrator jest dość powolny ze względu na nieefektywność procedury używanej do przechodzenia przez system plików. Chociaż deszyfrator dostarczony przez cyberprzestępcę działa, Cisco Talos podjęło decyzję, aby nie udostępniać żadnego utworzonego przez niego kodu wykonywalnego, ponieważ może to narazić środowiska produkcyjne. Przyjęto podejście polegające na wyodrębnieniu klucza prywatnego z deszyfratora i dodaniu go do listy kluczy obsługiwanych przez deszyfrator Avast Babuk.
Ogólny deszyfrator Babuk pomaga użytkownikom odzyskać pliki
Deszyfrator Avast Babuk jest zoptymalizowany pod kątem wydajności i pozwala użytkownikom bardzo szybko odzyskać pliki, jeśli wariant Babuk używa jednego ze znanych prywatnych kluczy deszyfrujących. Początkowy deszyfrator został wydany w październiku 2021 roku i był aktywnie wspierany przez inżynierów Avast Threat Labs.
Jego prosty interfejs użytkownika pozwala nawet osobom z minimalnym doświadczeniem w odzyskiwaniu ransomware łatwo zrozumieć jego zastosowanie i cel.
Użytkownicy dotknięci działaniem ransomware Tortilla mogą pobrać zaktualizowaną wersję dekryptora Babuk ze strony NoMoreRansom lub strony pobierania dekryptorów Avast.
