تعاون خبراء الأمن السيبراني في Cisco Talos وAvast، الذين يعملون جنبًا إلى جنب مع سلطات إنفاذ القانون في هولندا، لتوفير أداة فك التشفير لمتغير Tortilla من البرنامج سيئ السمعة. بابوك الفدية، مما يسمح للضحايا المتضررين من العصابة التي يعود تاريخها إلى عام 2021 باستعادة ملفاتهم.
في عملية مشتركة، مكنت المعلومات الاستخبارية التي قدمها تالوس للشرطة الهولندية القوة من التعرف على ممثل التهديد الذي يقف وراء بابوك تورتيلا واحتجازه ومحاكمته.
في هذه الأثناء، ونتيجة لللدغة، تمكن باحثو Talos من وضع أيديهم على مفتاح فك التشفير الخاص لـ Tortilla، والذي تم تفكيكه لاحقًا مع Avast Threat Labs، نظرًا لأن المورد الذي يقع مقره في التشيك كان لديه تم إصداره مسبقًا لأداة فك التشفير القياسية الصناعية لبابوك.
تم ذلك عن طريق استخراج المفتاح الخاص من برنامج فك التشفير وتمريره إلى Avast، وذلك لتجنب تعريض أي مستخدمين لتعليمات برمجية قابلة للتنفيذ أنشأها مؤلفو برنامج الفدية.
“تم تحسين برنامج فك التشفير Avast Babuk من أجل الأداء ويسمح للمستخدمين باستعادة ملفاتهم بسرعة كبيرة إذا كان متغير Babuk يستخدم أحد مفاتيح فك التشفير الخاصة المعروفة،” كتب الباحث سيسكو تالوس فانجا سفاجسر. “تم إصدار برنامج فك التشفير الأولي في أكتوبر 2021، وقد تم دعمه بشكل فعال من قبل مهندسي Avast Threat Labs.
وقال: “إن واجهة المستخدم البسيطة الخاصة به تسمح حتى للمستخدمين ذوي الخبرة الدنيا في استرداد برامج الفدية بفهم استخدامها والغرض منها بسهولة”.
وقالت Cisco Talos إن برنامج فك التشفير المحدث يتضمن الآن جميع المفاتيح الخاصة المعروفة، والتي من المأمول أن تمكن العديد من المستخدمين من استرداد بياناتهم. وهي متاحة الآن من خلال NoMoreRansomوهو مشروع مشترك بين الصناعة والوحدة الوطنية الهولندية لمكافحة جرائم التقنية العالية والمركز الأوروبي للجرائم الإلكترونية التابع لليوروبول. وكذلك من أفاست بحد ذاتها.
متسرب بابوك
وفقًا لـ Svajcer، فإن برنامج فك التشفير الذي حصل عليه Talos تم إنشاؤه على الأرجح من تسرب الكود المصدري والمولد لـ Babuk الذي حدث في أواخر عام 2021. ربما بدأ هذا التسرب مع أحد المطلعين الساخطين.
ظهرت عائلة برامج الفدية بابوك في البداية في وقت سابق من نفس العام، واكتسبت سمعة سيئة بسرعة بفضل سلسلة من الهجمات السيبرانية رفيعة المستوى.
يمكن تجميع الخزانة نفسها للعديد من منصات الأجهزة والبرامج المختلفة، حيث تستهدف الإصدارات الأكثر شيوعًا نظام التشغيل Microsoft Windows وARM لنظام التشغيل Linux.
وصفه Svajcer بأنه “شائن بطبيعته”، فعندما يقوم بتشفير نظام الضحية، فإنه يقاطع عمليات النسخ الاحتياطي للنظام ويحذف النسخ الاحتياطية لوحدة التخزين.
أدى هذا التسرب إلى استخدام الكود المصدري لبرنامج الفدية على نطاق أوسع في عالم الجريمة السيبرانية السري، وقد تمت ملاحظة العديد من العمليات الأخرى باستخدامه والبناء عليه. وقال سفاتجير إن التحليل الأخير وجد 10 جهات تهديد مختلفة تستخدم بعض أنواع الخزانة في البرية.
بعض السلالات البارزة تشمل سلالات مثل نوكوياوا، والتي استغلت نظام ملفات السجل المشترك لـ Windows في يوم الصفر؛ EXSiArgs، والتي كما يوحي اسمها، تستهدف برامج Hypervisor الخاصة ببرنامج VMware؛ و رورشاخ، وهو خليط مستوحى من العديد من برامج الفدية المختلفة، والذي حيّر الباحثين عندما ظهر لأول مرة في أبريل 2023.
