Publication d’un déchiffreur pour la variante Tortilla du rançongiciel Babuk

Cisco Talos a annoncé, le 9 janvier 2024, la mise en ligne d’un outil de déchiffrement des fichiers affectés par la variante « Tortilla » du rançongiciel Babuk. En septembre 2021, la publication du code source originel de ce ransomware avait permis à Avast de développer plusieurs clés de déchiffrement, quelques mois seulement après les débuts de Babuk. Cisco Talos a ajouté son nouvel outil à cette base de déchiffrement.

Des cybercriminels, n’ayant souvent rien à voir avec le groupe russophone Babuk, ont en effet utilisé ce code source pour créer leur propre rançongiciel. « Tortilla » était sans doute la plus populaire de toutes ces variantes de Babuk.

Les experts de Cisco Talos ont donc réussi à extraire une clé de déchiffrement de ce nouveau rançongiciel, même s’ils ne précisent pas comment. Leurs investigations leur ont également permis d’identifier le développeur de « Tortilla », un jeune cybercriminel néerlandais, provoquant son interpellation par les autorités locales.

En novembre 2023, la justice néerlandaise a par ailleurs condamné à quatre ans de prison, dont trois ferme, un autre jeune cybercriminel néerlandais, arrêté en janvier 2023. Responsable de plusieurs attaques par rançongiciel, il avait notamment utilisé Tortilla. Un lien pourrait exister entre ces deux affaires, même si rien dans l’annonce de Cisco Talos ne l’établit formellement.