Ερευνητές ασφαλείας δημιούργησαν ένα εργαλείο αποκρυπτογράφησης για το ransomware Black Basta, επιτρέποντας στα θύματα να ανακτήσουν τα αρχεία τους δωρεάν. Οι ερευνητές εκμεταλλεύτηκαν ένα σφάλμα στο ransomware για να δημιουργήσουν τον decryptor.
Φαίνεται ότι τα θύματα του Black Basta από τον Νοέμβριο του 2022 έως τον περασμένο μήνα μπορούν να χρησιμοποιήσουν το εργαλείο για να ανακτήσουν τα αρχεία τους. Ωστόσο, σύμφωνα με το BleepingComputer, οι προγραμματιστές του Black Basta διόρθωσαν το σφάλμα πριν από περίπου μία εβδομάδα, επομένως το εργαλείο αποκρυπτογράφησης δεν θα είναι αποτελεσματικό σε επόμενες επιθέσεις.
Black Basta ransomware: Τι σφάλμα χρησιμοποίησαν οι ερευνητές;
Το εργαλείο αποκρυπτογράφησης “Black Basta Buster” δημιουργήθηκε από το Security Research Labs (SRLabs), το οποίο βρήκε αδυναμία στον αλγόριθμο κρυπτογράφησης του ransomware.
“Η ανάλυσή μας προτείνει ότι τα αρχεία μπορούν να ανακτηθούν εάν είναι γνωστό το plaintext των 64 encrypted bytes. Το αν ένα αρχείο είναι πλήρως ή μερικώς ανακτήσιμο εξαρτάται από το μέγεθος του αρχείου“, εξηγούν οι ερευνητές.
“Δεν είναι δυνατή η ανάκτηση αρχείων κάτω των 5000 byte. Για αρχεία μεγέθους μεταξύ 5000 byte και 1 GB, είναι δυνατή η πλήρης ανάκτηση. Για αρχεία μεγαλύτερα από 1 GB, τα πρώτα 5000 byte θα χαθούν αλλά τα υπόλοιπα μπορούν να ανακτηθούν“.
Δείτε επίσης: Δημιουργία ransomware από Κινέζους χάκερς μέσω ChatGPT
Το BleepingComputer λέει ότι όταν το Black Basta ransomware κρυπτογραφεί ένα αρχείο, κάνει XOR το περιεχόμενο χρησιμοποιώντας ένα 64-byte keystream που δημιουργήθηκε χρησιμοποιώντας τον αλγόριθμο XChaCha20. Ωστόσο, όταν χρησιμοποιείται ένα stream cipher για την κρυπτογράφηση ενός αρχείου του οποίου τα byte περιέχουν μόνο μηδενικά, το ίδιο το κλειδί XOR εγγράφεται στο αρχείο, επιτρέποντας την ανάκτηση του κλειδιού κρυπτογράφησης.
Σύμφωνα με τον ειδικό σε υποθέσεις ransomware, Michael Gillespie, το Black Basta ransomware επαναχρησιμοποιούσε το ίδιο keystream κατά την κρυπτογράφηση, με αποτέλεσμα όλα τα 64-byte chunks δεδομένων που περιείχαν μόνο μηδενικά, να μετατραπούν στο 64-byte symmetric key. Αυτό το κλειδί μπορεί στη συνέχεια να εξαχθεί και να χρησιμοποιηθεί για την αποκρυπτογράφηση ολόκληρου του αρχείου.
Ενώ η αποκρυπτογράφηση μικρότερων αρχείων μπορεί να μην είναι δυνατή, μεγαλύτερα αρχεία όπως τα virtual machine disks μπορούν συνήθως να αποκρυπτογραφηθούν, καθώς περιέχουν μεγάλο αριθμό τμημάτων “zero-byte“.
Black Basta Buster: Το χρήσιμο εργαλείο αποκρυπτογράφησης
Το SRLabs κυκλοφόρησε το εργαλείο αποκρυπτογράφησης για το Black Basta ransomware, που αποτελείται από μια συλλογή python scripts που βοηθούν στην ανάκτηση αρχείων.
Οι ερευνητές δημιούργησαν και ένα script που ονομάζεται “decryptauto.py” που επιχειρεί να πραγματοποιήσει αυτόματη ανάκτηση του κλειδιού και στη συνέχεια να το χρησιμοποιήσει για να αποκρυπτογραφήσει το αρχείο.
Όπως προείπαμε, το εργαλείο είναι αποτελεσματικό μόνο για τα θύματα που επηρεάστηκαν από τον Νοέμβριο του 2022 έως και πριν από περίπου μια εβδομάδα.
Ο decryptor λειτουργεί μόνο σε ένα αρχείο τη φορά, επομένως για την ανάκτηση ενός ολόκληρου φακέλου, θα χρειαστεί ένα shell script ή το ‘find’ command.
find . -name “*.4xw1woqp0” -exec ../black-basta-buster/decryptauto.py “{}” \;
Black Basta ransomware: Μια σημαντική απειλή
Η συμμορία ransomware Black Basta ξεκίνησε τη λειτουργία της τον Απρίλιο του 2022. Μέχρι τον Ιούνιο του 2022, είχε συνεργαστεί με την επιχείρηση κακόβουλου λογισμικού QBot (QakBot) για απομακρυσμένη πρόσβαση σε εταιρικά δίκτυα.
Δείτε επίσης: Υπουργείο Δικαιοσύνης: Αποδιοργανώνει τη Ransomware συμμορία BlackCat
Η συμμορία Black Basta διεξάγει επιθέσεις διπλού εκβιασμού. Κλέβει δεδομένα από τα συστήματα, πριν τα κρυπτογραφήσει και έπειτα απειλεί να τα διαρρεύσει.
Η ομάδα είναι υπεύθυνη για μια σειρά επιθέσεων, συμπεριλαμβανομένων εκείνων στην Capita, την Αμερικανική Οδοντιατρική Εταιρεία, τη Sobeys, την Knauf και την Yellow Pages Canada. Πρόσφατα, η επιχείρηση ransomware επιτέθηκε στη Δημόσια Βιβλιοθήκη του Τορόντο, το μεγαλύτερο σύστημα δημόσιων βιβλιοθηκών του Καναδά.
Ποιες είναι οι συνέπειες του ransomware για εταιρείες και ιδιώτες
Οι συνέπειες του ransomware για εταιρείες και ιδιώτες μπορούν να είναι εκτεταμένες και καταστροφικές. Στον πυρήνα του, το ransomware είναι ένας τύπος κακόβουλου λογισμικού που κρυπτογραφεί τα δεδομένα του χρήστη, καθιστώντας τα απρόσιτα χωρίς το απαραίτητο κλειδί αποκρυπτογράφησης.
Για τις εταιρείες, αυτό μπορεί να σημαίνει την απώλεια πολύτιμων δεδομένων, την παρεμπόδιση της λειτουργίας τους και την απώλεια εμπιστοσύνης από τους πελάτες. Επιπλέον, η αποκατάσταση των συστημάτων μπορεί να είναι δαπανηρή και χρονοβόρα.
Για τους ιδιώτες, το ransomware μπορεί να οδηγήσει στην απώλεια προσωπικών δεδομένων, όπως φωτογραφίες, έγγραφα και άλλα αρχεία. Επιπλέον, η πληρωμή λύτρων δεν εγγυάται πάντα την αποκατάσταση των δεδομένων.
Δείτε επίσης: DragonForce Ransomware: Επιτέθηκε στη Yakult Australia
Επίσης, η επίθεση ransomware μπορεί να έχει ψυχολογικές συνέπειες για τα θύματα, καθώς μπορεί να νιώθουν προσβεβλημένοι, ανίσχυροι και ανασφαλείς. Αυτό μπορεί να οδηγήσει σε στρες και άγχος, ειδικά αν τα δεδομένα που χάθηκαν ήταν πολύτιμα ή ευαίσθητα.
Τέλος, το ransomware μπορεί να έχει σημαντικές νομικές συνέπειες. Οι εταιρείες που πέφτουν θύματα ransomware μπορεί να αντιμετωπίσουν αγωγές αν δεν μπορούν να προστατεύσουν τα δεδομένα των πελατών τους.
Πηγή: www.bleepingcomputer.com
