- Cisco Talos は、Babuk Tortilla ランサムウェア亜種に感染したファイルを復号できる実行可能コードを入手しました。これにより、攻撃者が使用する秘密復号キーを抽出して共有できるようになりました。
- Cisco Talos は、このキーを同業他社の Avast と共有し、2021 年にリリースされた Avast Babuk 復号ツールで対応できるようにしました。この復号ツールには、既知の秘密キーがすべて含まれているため、種々の Babuk ランサムウェア亜種によって暗号化されたファイルを復元できます。
- Talos から提供された脅威インテリジェンスに基づき、オランダ警察は Babuk Tortilla 攻撃の実行者を特定、逮捕し、オランダ検察庁がこの人物を起訴しました。この事例は、法執行機関と Talos や Avast のような民間セキュリティ組織との連携の力を示すものでした。
Cisco Talos はオランダ警察および Avast と連携して、Tortilla という Babuk ランサムウェア亜種に感染したシステムから暗号化されたファイルの復号ツールを回収することに成功しました。2021 年 11 月のブログ記事で最初に Tortilla ランサムウェアの攻撃について大きく取り上げています。
オランダ警察は Talos から提供されたインテリジェンスを利用して、このマルウェアの首謀者を発見し、逮捕しました。アムステルダム警察の捜査中に、Talos は復号ツールを入手して分析し、復号キーを回収しました。そして、他のいくつかの Babuk 亜種に対応する復号ツールの開発とメンテナンスを担当する Avast Threat Labs のエンジニアにそのキーを共有しました。
汎用の Avast Babuk 復号ツールは、感染した多くのユーザーによって事実上の業界標準の Babuk 復号ツールとしてすでに使用されていました。Talos が Tortilla 復号ツールから回収したキーでそれを更新するのは非常に合理的なことでした。
このようにして、ユーザーは NoMoreRansom などのプログラムにアクセスし、既知のすべての Babuk キーを含む単一の復号ツールをダウンロードできます。個別の亜種について競合他社の復号ツールを選択する必要はありません。
多くのランサムウェア亜種のベースとして使用される Babuk ソースコード
Babuk ランサムウェアは 2021 年に出現し、特に医療、製造、物流、公共サービスなど重要なインフラを含む業界を標的に注目度の高い攻撃で悪評を高めています。
Babuk は、複数のハードウェアおよびソフトウェア プラットフォーム向けにコンパイルできます。コンパイルの設定はランサムウェアビルダーで行います。実行ファイルのバージョンで最も一般的に使用されているのは Windows と Linux for ARM です。ただし、徐々に ESX と 32 ビットの古い PE 実行ファイルも確認されるようになりました。
Babuk ランサムウェアは非常に悪質です。被害者のマシンを暗号化すると同時に、システム バックアップ プロセスを中断してボリュームシャドウコピーを削除します。Babuk ランサムウェアのソースコードは、2021 年 9 月に内部関係者とされる人物によって地下フォーラムに流出しました。これにより、他のサイバー犯罪者がこのランサムウェアを利用して潜在的に強化したため、世界中の企業や組織の脅威レベルも引き上げることになりました。
Talos は最近、RA ランサムウェアグループと、流出した Babuk のソースコードに基づいてランサムウェアを作成するランサムウェアグループの活動を分析し、それを使用する 10 名の異なる攻撃者を記録しました。
流出した Babuk ランサムウェアのコードを使用するランサムウェアファミリのタイムライン。
2021 年 10 月 12 日、Cisco Talos はシスコ製品のテレメトリで、脆弱な Microsoft Exchange Server を標的とする Tortilla 攻撃を発見しました。ProxyShell の脆弱性をエクスプロイトして、Babuk ランサムウェアを攻撃対象の環境に展開しようとするものです。
特殊な感染チェーン手法が使用されており、中間のアンパックモジュールが pastebin.com のクローンである pastebin.pl でホストされています。このモジュールがダウンロードされてメモリ内で復号された後、元のローダモジュールに埋め込まれている最終ペイロードの復号が行われ、実行されます。
Babuk Tortilla 復号ツールは攻撃者が作成した標準復号ツール
Cisco Talos が入手した Babuk Tortilla 復号ツールは、流出した Babuk のソースコードとジェネレーターから作成された可能性があります。ランサムウェアツールキットを利用する攻撃者は、操作で使用する公開キーと秘密キーのペアを生成する必要があります。公開キーと秘密キーのペアは攻撃ごとに生成することもできますが、Tortilla の攻撃者が他のキーを使用した兆候は見られません。かわりにすべての攻撃で、1 つのキーペアが使用されています。
公開キーはランサムウェアペイロードに展開され、感染プロセスでファイルごとの対称暗号/復号キーを暗号化するために使用されます。その後、暗号化されたファイルの末尾に、暗号化マーカーと追加のメタデータが付加されます。これにより、この特殊な復号ツールは、ファイルが暗号化されていることを認識し、攻撃者によって作成され細工された復号ツールの本体に埋め込まれた秘密キーを使用して、対称キーを復号化できます。
ファイルシステムをトラバースするための再帰的な復号ツールの機能は非効率。
ファイルシステムをトラバースするために使用されるルーチンが非効率的であるため、元の復号ツールで使用される復号プロセスはかなり低速です。攻撃者が作成した復号ツールは機能しますが、Cisco Talos は、実稼働環境が信頼できないコードにさらされるリスクを考慮し、攻撃者が作成した実行可能コードについては共有しないことを決定しました。Talos は復号ツールから秘密キーを抽出し、そのキーを Avast Babuk 復号ツールでサポートされているキーのリストに追加するというアプローチを採用しました。
汎用の Babuk 復号ツールがユーザーのファイル復元をサポート
Avast Babuk 復号ツールはパフォーマンスを高めるために最適化され、Babak 亜種が既知の秘密復号キーのいずれかを使用している場合、ユーザーはファイルを非常に迅速に復元できます。最初の復号ツールは 2021 年 10 月にリリースされ、Avast Threat Labs のエンジニアが積極的にサポートしてきました。
シンプルなユーザーインターフェイスのおかげで、ランサムウェア被害からの回復の経験がほとんどないユーザーでも、使用法や目的を簡単に理解できます。
Avast Babuk 復号ツールを使用して Babak Tortilla 亜種で暗号化されたファイルを復号可能。
Tortilla ランサムウェア攻撃の被害を受けたユーザーは、NoMoreRansom 復号ツールのページまたは Avast 復号ツールのダウンロードページから、最新版の Babuk 復号ツールをダウンロードできます。
Cisco Talos は、オランダ警察と Avast の協力に感謝するとともに、他の同様のプロジェクトでも連携できることを楽しみにしています。
本稿は 2024 年 01 月 09 日に Talos Group のブログに投稿された「New decryptor for Babuk Tortilla ransomware variant released」の抄訳です。