La firma de investigación y combate de ciberamenazas Cisco Talos ha colaborado con la policía holandesa para identificar y arrestar a un actor de amenazas involucrado en ciberataques mediante la variante de ransomware Babuk Tortilla.
Una operación encubierta llevó a la detención de un pirata informático en Ámsterdam responsable de esta operación.
Gracias a ello, las autoridades pudieron recuperar un código ejecutable capaz de descifrar archivos afectados por el mencionado ransomware. Mediante éste los investigadores han podido extraer y publicar la clave de descifrado privada usada por los ciberdelincuentes.
Fue Talos quien reveló la cepa Tortilla en un exploit que involucraba vulnerabilidades de Microsoft Exchange en noviembre de 2023.
Esta variante es conocida por su capacidad para comprometer entornos Windows y NAS, incluyendo los entornos ESXi, un componente principal de la infraestructura que sustenta el paquete de software de VMware .
Talos ha compartido la clave elaborada con los laboratorios Avast Threat, que mantienen un descifrador que puede recuperar datos encriptados utilizando distintas cepas de Babuk. Esta herramienta se lanzó en 2021 tras la divulgación inicial de la familia Babuk e incluye todas las claves privadas conocidas involucradas en ataques que usan variantes del malware.
Según se hace eco ITPRo, el equipo de investigación de amenazas de Avast reveló que sus esfuerzos se vieron facilitados por el hecho de que se utilizó una única clave privada para todas las víctimas del actor de amenazas, lo que significa que los afectados pueden hace uso del servicio fácilmente.
Quién es Babuk
El grupo Babuk nació en 2021. En un origen, aparentemente, solo se dedicaban a encontrar vulnerabilidades en las redes corporativas y no tenían fines maliciosos.
Sin embargo, no mucho tiempo después se conoció su verdadera cara. La pandilla realizó un ataque al departamento de policía de Washington DC. Posteriormente también llevaron a cabo ataques de ransomware contra el equipo de baloncesto Houston Rockets.
En un momento dado pareció que Babuk iba a disolverse, ya que anunciaron en la dark web que pondrían a disposición pública el código fuente del ransomware. Llegó a especularse con que esa decisión era el resultado de un conflicto interno.