Nell'ultimo sviluppo contro il ransomware Babuk, gli esperti di Cisco Talos, insieme alla Polizia Olandese, hanno rilasciato un decryptor per la variante Tortilla. La scoperta fa seguito all'arresto dell'operatore del ransomware. Questo strumento, ottenuto e condiviso da Talos, consente alle vittime di recuperare i loro file precedentemente criptati.
Il decryptor è stato successivamente integrato in quello di Avast, già utilizzato come standard per Babuk nel 2021. Ciò consente agli utenti di accedere a un unico decryptor contenente tutte le chiavi Babuk note, semplificando il processo di recupero senza dover scegliere tra diverse opzioni.
La Polizia Olandese ha sfruttato l'intelligence fornita da Talos per individuare il responsabile dietro alle operazioni di Babuk Tortilla. Durante un'operazione a Amsterdam, Talos ha ottenuto e analizzato il decryptor, recuperato la chiave di decodifica e condiviso le informazioni con gli ingegneri di Avast Threat Labs.
Già a maggio 2023, ricercatori di SentinelLabs avevano individuato 10 famiglie di ransomware che utilizzano locker VMware ESXi basati sul codice sorgente di Babuk. La disponibilità del codice sorgente ha permesso a molti di creare ransomware anche senza particolari competenze tecniche.
SentinelLabs ha identificato varianti come Babuk 2023, Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil aka Revix (.rhkrc), Cylance ransomware, Dataf Locker, Rorschach aka BabLock, Lock4 e RTM Locker. Tuttavia, un'analisi ha mostrato poche somiglianze tra ESXiArgs e Babuk, indicando possibili errori di attribuzione.
Conti e REvil ESXi lockers mostrano sovrapposizioni con il codice di Babuk, suggerendo una collaborazione o piccole falle di informazioni tra le operazioni di ransomware. La popolarità del codice ESXi di Babuk potrebbe portare anche a progetti futuri di locker NAS basati su Golang.
Immagine di copertina: olgacov