Los investigadores han creado un descifrador que explota una falla en el ransomware Black Basta, permitiendo a las víctimas recuperar sus archivos de forma gratuita.
El grupo de ransomware Black Basta comenzó sus operaciones en la primavera del año 2022. Como otras operaciones de este tipo, se caracteriza por realizar el robo de datos antes de cifrar los ficheros. Realiza así una doble extorsión, amenazando a las víctimas con la publicación de los datos robados, además de pedir el rescate para el descifrado de los mismos. La familia de ransomware cuenta también con una herramienta para el cifrado de máquinas virtuales en servidores ESXi de VMWare.
En junio de 2022 se empezó a detectar una asociación entre las operaciones de Black Basta y las de Qakbot. Este último grupo fue desmantelado por el FBI en agosto de 2023 aunque resurgió a finales de año. Black Basta usaba la infraestructura de Qakbot tanto para el acceso inicial como para el movimiento lateral en las redes infectadas. Sus operaciones han sido también relacionadas con el grupo ruso FIN7 (Carnabak).
No todos los archivos se pueden recuperar
Es necesario aclarar que la posibilidad de descifrar los archivos depende de su tamaño. Aquellos de menos de 5000 bytes no son recuperables. Para archivos mayores a 1GB, los primeros 5000 bytes se pierden, pero los restantes sí se pueden descifrar.
El ransomware cifra los datos mediante una operación lógica XOR con una clave de 64 bytes usando el algoritmo XChaCha20. El cifrado de flujo de un grupo de 64 ceros con este algoritmo provoca que se pueda recuperar la clave simétrica utilizada en el bloque. Esto no permitiría el descifrado de los ficheros, si no fuera porque el algoritmo reutiliza esta misma clave para todos los bloques.
Los investigadores de SRLabs han proporcionado a través de Github una serie de herramientas para facilitar a los interesados en recuperar los datos cifrados por este ransomware o por qué no, aquellos investigadores que deseen comprender mejor el fallo en el algoritmo criptográfico.
Más información:
- https://www.bleepingcomputer.com/news/security/new-black-basta-decryptor-exploits-ransomware-flaw-to-recover-files/
- https://github.com/srlabs/black-basta-buster
- https://research.nccgroup.com/2022/06/06/shining-the-light-on-black-basta/
Deja una respuesta