La reciente publicación de una herramienta de descifrado para el ransomware Babuk Tortilla forma parte de una respuesta proactiva a los crecientes retos que plantean las ciberamenazas. Este avance fue posible gracias a una operación policial en Ámsterdam, que condujo a la detención de un actor de la amenaza y a la producción de un descifrador con la ayuda de los expertos en ciberseguridad de Cisco Talos. Este descifrador, que incluye todas las claves privadas conocidas, permite a las víctimas recuperar los archivos cifrados por distintas variantes de Babuk. Esta colaboración entre las fuerzas del orden y los investigadores en ciberseguridad subraya la importancia de la inteligencia y la cooperación en la lucha contra las amenazas digitales, y refleja un enfoque adaptativo y resistente ante la constante evolución de las tácticas de los ciberdelincuentes.
Tortilla Babuk: un ransomware temible y temido
El ransomware Babuk, que apareció por primera vez en 2021, ha ganado rápidamente notoriedad en el mundo de la ciberseguridad por sus ataques dirigidos a sectores clave como la sanidad, la fabricación, la logística y los servicios públicos, incluidas las infraestructuras críticas. Ha destacado su capacidad para cifrar eficazmente los datos de las víctimas e interrumpir los procesos de copia de seguridad. Babuk se distingue especialmente por su método de ataque, que incluye el borrado de las instantáneas de volumen, lo que dificulta aún más la recuperación de los datos por parte de las víctimas. Esta característica marcó su entrada en el mundo de las ciberamenazas.
Diseñado para ser compilado en diversas plataformas de hardware y software, Babuk utilizó un generador de ransomware para su configuración. Las versiones para Windows y ARM para Linux fueron las más comunes, pero también se vieron variantes para ESX y un antiguo ejecutable PE de 32 bits.
El código fuente de Babuk se filtró en un foro y estallaron los clones
Un punto de inflexión importante en la historia de Babuk fue la filtración de su código fuente a un foro en línea en septiembre de 2021. Esta filtración dio acceso a otros ciberdelincuentes a una herramienta avanzada de ransomware y les permitió desarrollar sus propias variantes, lo que provocó un aumento de los ciberataques con métodos similares. Cisco Talos analizó entonces las operaciones de grupos de ransomware que utilizaban el código fuente de Babuk, incluido el grupo RA y otros. Estos análisis revelaron que diez grupos diferentes utilizaban el código fuente de Babuk para sus operaciones, lo que demuestra el amplio impacto de la filtración del código fuente en el ecosistema de las ciberamenazas. Como resultado, Babuk se ha convertido en un actor aún más formidable en el ecosistema de amenazas, lo que demuestra la capacidad de los ciberdelincuentes para adaptarse y evolucionar rápidamente para maximizar el impacto y la rentabilidad de sus ataques.
Campaña de la tortilla y técnica de infección
En octubre de 2021, Cisco Talos descubrió una campaña que utilizaba el ransomware Tortilla, una variante de Babuk, dirigida a servidores Microsoft Exchange vulnerables. La campaña explotaba la vulnerabilidad ProxyShell para desplegar el ransomware en el entorno de las víctimas. La técnica de infección implicaba un módulo intermedio de desempaquetado alojado en un clon de pastebin.com, pastebin.pl, que se descargaba y descodificaba en memoria antes de que se descifrara y ejecutara la carga útil final.
La operación policial y la colaboración de Cisco Talos
La operación policial en Ámsterdam marcó un momento clave en la lucha contra el ransomware Babuk Tortilla. La operación se llevó a cabo en estrecha colaboración con Cisco Talos, un equipo de investigadores líderes en ciberseguridad. Su papel fue esencial en la recopilación de información sobre el malware, lo que permitió a la policía holandesa localizar y detener al principal responsable del malware.
Cisco Talos no sólo ayudó a identificar al sospechoso, sino que también desempeñó un papel clave en el análisis técnico del ransomware. Su experiencia hizo posible descifrar el código del ransomware, recuperar la clave de descifrado y compartirla con los ingenieros de Avast Threat Labs. Estos últimos fueron los responsables de desarrollar y mantener el descifrador para otras variantes de Babuk.
«Cisco Talos compartió la clave con sus pares de Avast para incluirla en el descifrador Avast Babuk lanzado en 2021″, dijo Vanja Svajcer en un post en el blog de Cisco Talos. «El descifrador incluye todas las claves privadas conocidas, permitiendo a muchos usuarios recuperar sus archivos una vez cifrados por diferentes variantes del ransomware Babuk.»
La colaboración entre Cisco Talos y la policía holandesa también ha llevado a la creación de una completa herramienta de descifrado, que incluye todas las claves privadas conocidas. Esta herramienta se ha puesto a disposición del público, permitiendo a las víctimas recuperar los archivos cifrados por diferentes variantes de Babuk. Este paso marca un avance significativo en la disponibilidad de herramientas eficaces para contrarrestar los efectos devastadores de Babuk, ofreciendo un rayo de esperanza a las víctimas de este temible ransomware.
Este episodio en la lucha contra el ransomware demuestra la importancia de la cooperación entre las fuerzas del orden y los expertos en ciberseguridad para contrarrestar eficazmente las amenazas digitales. La operación también puso de relieve la necesidad de un enfoque proactivo y colaborativo para hacer frente a los ciberataques cada vez más sofisticados. Subrayó la importancia de la inteligencia en materia de ciberseguridad y de la cooperación internacional en la lucha contra los ciberdelincuentes.
Cómo y dónde descargar el descifrador de Babuk Tortilla
Para acceder al descifrador de Babuk Tortilla, las víctimas deben seguir un proceso técnico específico, detallado por los expertos de Cisco Talos. Este descifrador, desarrollado a partir del código fuente de Babuk y su generador, está diseñado para neutralizar el sofisticado mecanismo de cifrado del ransomware. Vanja Svajcer, de Cisco Talos, explicó que el ransomware utiliza un par único de claves pública y privada para cifrar los datos de las víctimas. La clave pública, incrustada en la carga útil del ransomware, cifra la clave simétrica de cada archivo. Esta clave simétrica se añade al final de cada archivo cifrado, lo que permite al descifrador reconocer y descifrar los archivos afectados.
Las víctimas del ransomware Babuk Tortilla pueden descargar gratuitamente la herramienta de descifrado. Este descifrador está disponible en la página de descifradores NoMoreRansom y en la página de descarga del descifrador Avast Babuk. Estas plataformas ofrecen una solución fiable y segura para recuperar los archivos cifrados sin tener que pagar un rescate.
Los usuarios pueden acceder a estas plataformas para descargar el único descifrador que contiene todas las claves Babuk conocidas hasta la fecha y no tienen que elegir entre descifradores competidores para variantes individuales. El descifrador genérico Avast Babuk ya estaba siendo utilizado como el descifrador Babuk estándar de facto por muchos usuarios afectados, por lo que tenía todo el sentido que se actualizara con las claves que Talos recuperó del descifrador Tortilla.
Es importante señalar que el descifrador Babuk es una herramienta sofisticada, diseñada para funcionar en múltiples plataformas de hardware y software. Los usuarios deben seguir cuidadosamente las instrucciones proporcionadas para garantizar la recuperación efectiva de sus datos.
La historia de la tortilla Babuk y la respuesta eficaz a esta amenaza subrayan la importancia crucial de la colaboración entre las fuerzas del orden y los expertos en ciberseguridad. La operación policial en Ámsterdam y el trabajo de Cisco Talos no sólo neutralizaron una amenaza importante, sino que también proporcionaron herramientas y conocimientos valiosos para prevenir futuros ataques. Esta victoria contra Babuk Tortilla demuestra que, a pesar de la constante evolución de las ciberamenazas, las respuestas coordinadas e innovadoras pueden aportar soluciones concretas y eficaces.
