Samenwerking tussen Cisco Talos en de Nederlandse politie heeft geleid tot het uitschakelen van de Tortilla-variant van de Babuk-ransomware. Onder andere is de verantwoordelijke hacker gearresteerd, en er is een zeer algemeen bruikbaar decryptietool ontdekt.
Onlangs werd in Amsterdam het mogelijke brein achter Babuk Tortilla aangehouden. De Tortilla Babuk-variant dook snel op nadat de broncode van de Babuk-ransomware op een hackersforum werd gepubliceerd. In het bijzonder richtte deze variant zich op het aanvallen van Microsoft Exchange-servers met ProxyShell-exploits om de ransomware uit te rollen.
Ook decryptor-tool ontdekt
Daarnaast slaagden de partijen erin een decryptietool te verkrijgen waarmee de met de variant versleutelde bestanden kunnen worden bevrijd. De tool bevatte volgens de beveiligingsexperts van Cisco Talos een enkel public/private key-paar dat voor alle aanvallen met de Babuk-ransomware werd gebruikt.
Met het nu ontdekte enkele public/private key-paar dat voor alle Babuk-aanvallen werd gebruikt, kan deze decryptor alsnog de Tortilla-variant aanpakken. Cisco Talos heeft de kenmerken gedeeld met Avast om diens tool bij te werken.
Ondanks dat Babuk Tortilla nu is uitgeschakeld, blijven er volgens Cisco Talos nog veel varianten in omloop. Deze omvatten onder andere de Rook-, Night Sky-, Pandora-, Nokoyawa Cheerscrypt-, AstraLocker 2.0-, ESCiArgs-, Rorschach-, RTM Locker-, en de RA Group-varianten. Waakzaamheid blijft dus geboden.
Lees ook: Cisco bouwt gestaag aan geïntegreerd en open securityplatform; hoe ziet dat eruit?