Cisco Talosは、Babuk Tortillaランサムウェア亜種の被害者向けに新しい復号鍵が作成されたことを確認しました。
これらの鍵は、Avast Threat Labsが以前作成した汎用Babuk復号ツールに追加されます。これにより、ユーザーは現在判明しているすべてのBabuk鍵を含む単一の復号ツールをダウンロードできるようになります。
Babukランサムウェアの亜種を標的に
Babukランサムウェアは2021年に注目を集め、製造業や法執行機関などの業界に対する複数の大規模攻撃の背後にありました。
このランサムウェアは高度に洗練されており、複数のハードウェアおよびソフトウェアプラットフォーム向けにコンパイルされています。最も一般的に使用されているバージョンは、WindowsとLinux向けARMです。
Babukは被害者のマシンを暗号化する一方で、システムのバックアップ処理を中断し、ボリュームシャドウコピーを削除することもできるため、復旧がより困難になります。
Babukのソースコードは2021年9月に地下フォーラムで流出し、複数の脅威アクターがこの亜種を開発できるようになりました。
Ciscoは、Babukを悪用してきたランサムウェアファミリーを挙げています。
- Rook – 2021年12月
- Night Sky – 2022年1月
- Pandora – 2022年3月
- Nokoyawa Cheerscrypt – 2022年5月
- AstraLocker 2.0 – 2022年6月
- ESXiArgs – 2023年2月
- Rorschach RTM Locker RA Group – 2023年4月
これには、Tortillaとして知られる脅威アクターも含まれていました。Cisco Talosは、2021年10月に、Tortillaが脆弱なMicrosoft Exchangeサーバーを標的にし、ProxyShellの脆弱性を悪用して被害者環境にBabukランサムウェアを展開しようとしていることを初めて観測しました。
その後の法執行機関による捜査では、Cisco Talosのインテリジェンスを活用したオランダ警察が、Tortillaマルウェアの背後にいる人物を特定し、逮捕することに成功しました。
この作戦中に、TalosはTortillaが使用していた復号ツールを入手し、回収した復号鍵をAvast Threat Labsと共有しました。
Avastはすでに、他の複数のBabuk亜種向けに汎用復号ツールを開発していました。
Talosは、この復号ツールが流出したBabukのソースコードとジェネレーターから作成されたものだと考えています。攻撃者はキャンペーンごとに異なる公開鍵/秘密鍵ペアを生成できますが、Tortillaのアクターは単一の鍵ペアを用いてすべての被害者を攻撃していました。
同社は、Tortillaが作成した実行可能コードを共有するのではなく、復号ツールから秘密鍵を抽出してAvastのBabuk復号ツールが対応する鍵のリストに追加するという判断を下したと述べました。これは、本番環境が信頼できないコードにさらされる可能性があるためです。
被害者は暗号化されたファイルをどのように復旧できるか
Tortillaランサムウェア攻撃の被害者は、NoMoreRansomの復号ツールページ、またはAvastの復号ツールダウンロードページから、更新版のBabuk復号ツールをダウンロードできるようになりました。
この復号ツールは、ユーザーが非常に迅速かつ容易にファイルを復旧できるよう設計されています。
Talosは2024年1月9日のブログで、「シンプルなユーザーインターフェースにより、ランサムウェア復旧の経験が最小限のユーザーでも、その使い方と目的を容易に理解できる」と記しました。
近年、悪名高いランサムウェアギャングの被害者を支援するため、複数の復号ツールが公開されています。
これには、Security Research LabsがBlack Bastaランサムウェアによって暗号化されたファイルの復旧を可能にするツールを公開したことや、FBIが2023年12月、法執行機関の措置を受けて悪名高いBlackCatグループ向けの復号ツールを開発したと発表したことが含まれます。
翻訳元: https://www.infosecurity-magazine.com/news/decryption-key-babuk-ransomware/
