Witold Kepinski - 11 januari 2024

Politie pakt dreigingsactor achter Babuk Tortilla operaties op

In samenwerking met de Nederlandse politie en Avast heeft Cisco Talos een decryptor hersteld voor gecodeerde bestanden van systemen die getroffen zijn door de Babuk-ransomwarevariant, bekend als Tortilla.

Politie pakt dreigingsactor achter Babuk Tortilla operaties op image

Talos meldt: 'We hebben de werkingen van Tortilla-ransomware voor het eerst beschreven in een blogpost in november 2021 .

De Nederlandse politie heeft de door Talos verstrekte inlichtingen gebruikt om de actor achter deze malware te ontdekken en te arresteren. Tijdens de operatie van de Amsterdamse politie heeft Talos de decryptor verkregen en geanalyseerd, de decryptiesleutel teruggevonden en de sleutel gedeeld met technici van Avast Threat Labs die verantwoordelijk waren voor de ontwikkeling en het onderhoud van de decryptor voor verschillende andere Babuk-varianten.

De generieke Avast Babuk-decryptor werd door veel getroffen gebruikers al gebruikt als de de facto industriestandaard Babuk-decryptor en het was volkomen logisch om te worden bijgewerkt met de sleutels die Talos had hersteld van de Tortilla-decryptor.

Op deze manier hebben gebruikers toegang tot programma's zoals NoMoreRansom om de enkele decryptor te downloaden die alle momenteel bekende Babuk-sleutels bevat en hoeven ze niet te kiezen tussen concurrerende decryptors voor individuele varianten.

De Babuk-broncode wordt gebruikt als basis voor veel ransomwarevarianten

De Babuk-ransomware verscheen in 2021 en verwierf bekendheid vanwege zijn spraakmakende aanvallen op gerichte industrieën, vooral die in de gezondheidszorg , productie , logistiek en openbare diensten, inclusief kritieke infrastructuur .

Babuk kan voor verschillende hardware- en softwareplatforms worden samengesteld. De compilatie wordt geconfigureerd via een ransomware-builder. Windows en ARM voor Linux zijn de meest gebruikte versies, maar ESX en een 32-bits, ouder PE-uitvoerbaar bestand werden in de loop van de tijd ook waargenomen.

De Babuk-ransomware is van nature schadelijk en hoewel het de machine van het slachtoffer versleutelt, onderbreekt het het systeemback-upproces en verwijdert het de volumeschaduwkopieën. De broncode van de Babuk-ransomware lekte in september 2021 in een ondergronds forum door een vermeende insider, waardoor de deur werd geopend voor andere cybercriminelen om de ransomware te gebruiken en mogelijk te verbeteren en het dreigingsniveau voor bedrijven en organisaties over de hele wereld te verhogen.

Talos analyseerde onlangs de activiteiten van de RA-ransomwaregroep en andere groepen, waarbij ze hun ransomware baseerden op de gelekte Babuk-broncode, waarbij tien verschillende actoren werden gedocumenteerd die deze gebruikten.

Lees meer hier.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!