La récente mise à disposition d’un outil de déchiffrement pour le ransomware Babuk Tortilla s’inscrit dans un contexte de réponse proactive aux défis croissants posés par les cybermenaces. Cette percée a été rendue possible grâce à une opération policière à Amsterdam, qui a conduit à l’arrestation d’un acteur de la menace et à la réalisation d’un déchiffreur à l’aide des experts en cybersécurité de Cisco Talos. Ce déchiffreur, incluant toutes les clés privées connues, permet aux victimes de récupérer leurs fichiers chiffrés par différentes variantes de Babuk. Cette collaboration entre les forces de l’ordre et les chercheurs en cybersécurité souligne l’importance de l’intelligence et de la coopération dans la lutte contre les menaces numériques, reflétant une approche adaptative et résiliente face à l’évolution constante des tactiques des cybercriminels.
Babuk Tortilla : un ransomware redoutable et redouté
Le ransomware Babuk, qui a fait son apparition en 2021, a rapidement acquis une notoriété dans le monde de la cybersécurité par ses attaques ciblées sur des secteurs clés comme la santé, la fabrication, la logistique et les services publics, y compris les infrastructures critiques. Sa capacité à chiffrer efficacement les données des victimes et à perturber les processus de sauvegarde a été une caractéristique marquante. Babuk se distingue notamment par sa méthode d’attaque, qui inclut la suppression des copies de l’ombre de volume, rendant la récupération des données encore plus difficile pour les victimes. Cette spécificité a marqué son entrée dans le monde des cybermenaces.
Conçu pour être compilé sur diverses plateformes matérielles et logicielles, Babuk a utilisé un générateur de ransomware pour sa configuration. Les versions pour Windows et ARM pour Linux étaient les plus courantes, mais des variantes pour ESX et une exécutable PE 32 bits plus ancienne ont aussi été observées.
Fuite du code source de Babuk sur un forum et explosion des clones
Un tournant majeur dans l’histoire de Babuk a été la fuite de son code source sur un forum en ligne en septembre 2021. Cette fuite a permis à d’autres cybercriminels d’accéder à un outil de ransomware avancé et de développer leurs propres variantes ce qui a conduit à à une augmentation des cyberattaques utilisant des méthodes similaires. Cisco Talos a alors analysé les opérations de groupes de ransomware utilisant le code source de Babuk, notamment le groupe RA et d’autres acteurs. Ces analyses ont révélé que dix groupes différents utilisaient le code source de Babuk pour leurs opérations, démontrant l’impact étendu de la fuite du code source sur l’écosystème des cybermenaces. En conséquence, Babuk est ainsi devenu un acteur encore plus redoutable dans l’écosystème des menaces, démontrant la capacité des cybercriminels à s’adapter et à évoluer rapidement pour maximiser l’impact et la rentabilité de leurs attaques.
Campagne Tortilla et technique d’infection
C’est en octobre 2021, que Cisco Talos a découvert une campagne utilisant le ransomware Tortilla, une variante de Babuk, ciblant des serveurs Microsoft Exchange vulnérables. Cette campagne exploitait la vulnérabilité ProxyShell pour déployer le ransomware dans l’environnement des victimes. La technique d’infection impliquait un module de déballage intermédiaire hébergé sur un clone de pastebin.com, pastebin.pl, qui était téléchargé et décodé en mémoire avant que la charge utile finale ne soit déchiffrée et exécutée.
L’Opération Policière et la Collaboration de Cisco Talos
L’opération policière à Amsterdam a marqué un moment clé dans la lutte contre le ransomware Babuk Tortilla. Cette opération a été menée en étroite collaboration avec Cisco Talos, une équipe de chercheurs en cybersécurité de premier plan. Leur rôle a été essentiel dans la collecte de renseignements sur le malware, permettant ainsi à la police néerlandaise de localiser et d’appréhender l’acteur clé derrière ce logiciel malveillant.
Cisco Talos a non seulement aidé à identifier le suspect, mais a également joué un rôle déterminant dans l’analyse technique du ransomware. Leur expertise a permis de décrypter le code du ransomware, de récupérer la clé de décryptage et de la partager avec les ingénieurs d’Avast Threat Labs. Ces derniers ont été responsables du développement et de la maintenance du décrypteur pour plusieurs autres variantes de Babuk.
« Cisco Talos a partagé la clé avec ses pairs chez Avast pour l’inclure dans le décrypteur Avast Babuk publié en 2021 », a déclaré Vanja Svajcer dans un post sur le blog de Cisco Talos. « Le décrypteur inclut toutes les clés privées connues, permettant à de nombreux utilisateurs de récupérer leurs fichiers une fois chiffrés par différentes variantes du ransomware Babuk. »
La collaboration entre Cisco Talos et la police néerlandaise a également conduit à la création d’un outil de décryptage complet, incluant toutes les clés privées connues. Cet outil a été mis à disposition du public, permettant ainsi aux victimes de récupérer leurs fichiers chiffrés par différentes variantes de Babuk. Cette étape marque une avancée significative dans la mise à disposition d’outils efficaces pour contrer les effets dévastateurs de Babuk, offrant ainsi une lueur d’espoir aux victimes de ce ransomware redoutable.
Cet épisode dans la lutte contre les ransomwares démontre l’importance de la coopération entre les forces de l’ordre et les experts en cybersécurité pour contrer efficacement les menaces numériques. L’opération a également mis en lumière la nécessité d’une approche proactive et collaborative pour faire face aux cyberattaques de plus en plus sophistiquées. Elle a souligné l’importance de l’intelligence en matière de cybersécurité et de la coopération internationale dans la lutte contre les cybercriminels.
Comment et où télécharger le déchiffreur pour Babuk Tortilla
Pour accéder au déchiffreur Babuk Tortilla, les victimes doivent suivre un processus technique spécifique, détaillé par les experts de Cisco Talos. Ce déchiffreur, élaboré à partir du code source de Babuk et de son générateur, est conçu pour neutraliser le mécanisme de chiffrement sophistiqué du ransomware. Vanja Svajcer de Cisco Talos a expliqué que le ransomware utilise une paire de clés publique/privée unique pour chiffrer les données des victimes. La clé publique, intégrée dans le payload du ransomware, chiffre la clé symétrique de chaque fichier. Cette clé symétrique est ensuite ajoutée à la fin de chaque fichier chiffré, permettant au décrypteur de reconnaître et de décrypter les fichiers affectés.
Les victimes du ransomware Babuk Tortilla peuvent télécharger gratuitement l’outil de déchiffrement. Ce décrypteur est disponible sur la page des décrypteurs NoMoreRansom et sur la page de téléchargement des déchiffreur Avast Babuk. Ces plateformes offrent une solution fiable et sécurisée pour récupérer les fichiers chiffrés sans avoir à payer de rançon.
Les utilisateurs peuvent accéder à ces plateformes pour télécharger le seul déchiffreur contenant toutes les clés Babuk connues à ce jour et n’ont pas à choisir entre des décrypteurs concurrents pour des variantes individuelles. Le décrypteur générique Avast Babuk était déjà utilisé comme le déchiffreur Babuk standard de facto par de nombreux utilisateurs concernés et il était donc parfaitement logique qu’il soit mis à jour avec les clés que Talos a récupérées du décrypteur Tortilla.
Il est important de noter que le déchiffreur Babuk est un outil sophistiqué, conçu pour fonctionner sur plusieurs plateformes matérielles et logicielles. Les utilisateurs doivent suivre attentivement les instructions fournies pour garantir une récupération efficace de leurs données.
L’histoire de Babuk Tortilla et la réponse efficace à cette menace soulignent l‘importance cruciale de la collaboration entre les forces de l’ordre et les experts en cybersécurité. L’opération policière à Amsterdam et le travail de Cisco Talos ont non seulement permis de neutraliser une menace significative mais ont aussi offert des outils et des connaissances précieuses pour prévenir de futures attaques. Cette victoire contre Babuk Tortilla démontre que, malgré l’évolution constante des cybermenaces, des réponses coordonnées et innovantes peuvent apporter des solutions concrètes et efficaces.
