Bonne nouvelle: les chercheurs de Cisco Talos viennent de publier un nouveau déchiffreur pour la variante “Tortilla” du rançongiciel Babuk, indique l’entreprise sur son blog. Déjà intégré dans le déchiffreur dédié à Babuk de l’éditeur d’antivirus Avast, le nouvel outil est notamment disponible via la plateforme No More Ransom.
Les spécialistes de la menace cyber de l’équipementier réseau et cloud américain Cisco expliquent, sans vraiment plus de précisions, avoir réussi à extraire et partager la clé de déchiffrement utilisée par les pirates de Tortilla. Les renseignements obtenus par les chercheurs en sécurité ont ensuite permis à la police néerlandaise d’arrêter le développeur du logiciel malveillant.
Condamnation à l’automne
Aucun communiqué n’a été publié récemment à ce sujet par la justice néerlandaise. On ignore ainsi la nature exacte du lien entre la publication de ce déchiffreur et la condamnation à l’automne dernier d’un jeune néerlandais mis en cause dans un dossier de vol de données et d’extorsion avec le rançongiciel Tortilla.
Comme le remarque Avast, les fichiers des victimes de ce ransomware peuvent être tous déchiffrés avec la même clé privée, ce qui a facilité la mise à jour du déchiffreur.
La campagne Tortilla de Babuk se caractérisait notamment par des fichiers en point babyk. L’exemple de demande de rançon partagé par Avast, une extorsion à 10 000 dollars en Monero, se dénommait “How To Restore Your files”.
Fuite du code source
Le déchiffreur de Babuk avait pu être mis au point après la publication du code source de ce rançongiciel en septembre 2021 sur un forum de hackers russes. Soit quelques mois à peine après l’apparition de ce gang, repéré en début d’année. Avast avait alors identifié 14 clés privées dans l’archive.
Comme le signalait à l’époque Bleepingcomputer, la personne à l’origine de la fuite expliquait vouloir divulguer le code source avant son futur décès lié à un cancer en phase terminale.
Toutefois, il est également probable que cette fuite faisait suite à des dissensions internes dans ce gang liées à l’attaque de la police de Washington, une opération audacieuse qui avait mis les cybercriminels en difficulté.
Ce dernier piratage a été attribué par la justice américaine à un Russe, Mikhail Matveev. Ce dernier, connu sous les pseudos Wazawaka, m1x, Boriselcin, ou encore Uhodiransomwar, est accusé d’avoir participé au déploiement du rançongiciel au printemps 2021.