Cisco Talos publicó un descifrador para la variante Tortilla del ransomware Babuk, lo que permite a las víctimas atacadas por el malware recuperar el acceso a sus archivos.
La firma de ciberseguridad dijo que la inteligencia sobre amenazas que compartió con las autoridades policiales holandesas hizo posible arrestar al actor de amenazas detrás de las operaciones.
La clave de cifrado también se compartió con Avast, que había lanzado previamente un descifrador para el ransomware Babuk después de que se filtrara su código fuente en septiembre de 2021. Se puede acceder al descifrador actualizado aquí [archivo EXE].
"Se utiliza una única clave privada para todas las víctimas del actor de la amenaza Tortilla", señaló Avast. "Esto hace que la actualización del descifrador sea especialmente útil, ya que todas las víctimas de la campaña pueden utilizarla para descifrar sus archivos".
Talos reveló por primera vez la campaña Tortilla en noviembre de 2021, y los ataques aprovecharon las fallas de ProxyShell en los servidores de Microsoft Exchange para instalar el ransomware en los entornos de las víctimas.
Tortilla es una de las muchas variantes de ransomware que han basado su malware de cifrado de archivos en el código fuente filtrado de Babuk. Esto incluye Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0, ESXiArgs, Rorschach, RTM Locker y RA Group.
El desarrollo se produce cuando la empresa alemana de ciberseguridad Security Research Labs (SRLabs) lanzó un descifrador para el ransomware Black Basta llamado Black Basta Buster, aprovechando una debilidad criptográfica para recuperar un archivo parcial o totalmente.
"Los archivos se pueden recuperar si se conoce el texto plano de 64 bytes cifrados", dijo SRLabs. "Que un archivo sea total o parcialmente recuperable depende del tamaño del archivo. Los archivos con un tamaño inferior a 5000 bytes no se pueden recuperar. Para archivos entre 5000 bytes y 1 GB de tamaño, la recuperación completa es posible. Para archivos de más de 1 GB, los primeros 5000 bytes se perderán pero el resto se puede recuperar".
Bleeping Computer informó a fines del mes pasado que los desarrolladores de Black Basta solucionaron el problema, impidiendo que la herramienta funcione con infecciones más nuevas.
Fuente: THN