Pesquisadores criaram um decifrador que explora uma falha no ransomware Black Basta, permitindo que as vítimas recuperem seus arquivos gratuitamente.
O decifrador permite que as vítimas do Black Basta, de novembro de 2022 até este mês, possam potencialmente recuperar seus arquivos de forma gratuita.
No entanto, o BleepingComputer soube que os desenvolvedores do Black Basta corrigiram o bug em sua rotina de criptografia cerca de uma semana atrás, impedindo que esta técnica de decifragem fosse usada em ataques mais recentes.
O decifrador 'Black Basta Buster' vem da Security Research Labs (SRLabs), que encontrou uma fraqueza no algoritmo de criptografia usado pelos criptógrafos da gangue do ransomware que permite a descoberta do keystream ChaCha usado para criptografar um arquivo com XOR.
"Nossa análise sugere que os arquivos podem ser recuperados se o texto simples de 64 bytes criptografados for conhecido.
A recuperação completa ou parcial de um arquivo depende do tamanho do arquivo", explica a descrição do método no repositório GitHub da SRLabs.
"Arquivos abaixo de 5000 bytes não podem ser recuperados.
Para arquivos entre 5000 bytes e 1GB de tamanho, a recuperação completa é possível.
Para arquivos maiores que 1GB, os primeiros 5000 bytes serão perdidos, mas o restante pode ser recuperado".
Quando o Black Basta criptografa um arquivo, ele faz o XOR do conteúdo usando um keystream de 64 bytes criado usando o algoritmo XChaCha20.
No entanto, ao usar uma cifra de fluxo para criptografar um arquivo cujos bytes contêm apenas zeros, a chave XOR é gravada no arquivo, permitindo a recuperação da chave de criptografia.
O especialista em ransomware Michael Gillespie disse ao BleepingComputer que o Black Basta tinha um bug onde eles estavam reutilizando o mesmo keystream durante a criptografia, fazendo com que todos os pedaços de dados de 64 bytes contendo apenas zeros fossem convertidos na chave simétrica de 64 bytes.
Esta chave pode então ser extraída e usada para descriptografar o arquivo inteiro.
Isso é ilustrado na imagem abaixo, onde dois pedaços de 64 bytes de 'zeros' foram XORed e agora contêm o keystream usado para criptografar o arquivo.
Embora a descriptografia de arquivos menores possa não ser possível, arquivos maiores como discos de máquinas virtuais geralmente podem ser descriptografados, pois contêm um grande número de seções de 'bytes zero'.
"Imagens de disco virtualizadas, no entanto, têm uma alta chance de serem recuperadas, porque as partições reais e seus sistemas de arquivos tendem a começar mais tarde", explica SRLabs.
"Portanto, o ransomware destruiu a tabela de partição MBR ou GPT, mas ferramentas como o 'testdisk' geralmente podem recuperar ou regenerar essas tabelas".
Para arquivos que não contêm grandes blocos de dados de byte zero, SRLabs diz que ainda pode ser possível recuperar arquivos se você tiver uma versão mais antiga não criptografada com dados similares.
O BleepingComputer foi informado que algumas empresas de DFIR estavam cientes da falha e a utilizaram por meses, descriptografando os computadores de seus clientes sem precisar pagar resgate.
Os pesquisadores da SRLabs lançaram um decodificador chamado Black Basta Buster que consiste em uma coleção de scripts em python que ajudam a descriptografar arquivos em diferentes cenários.
No entanto, os pesquisadores criaram um script chamado 'decryptauto.py' que tenta realizar a recuperação automática da chave e então usá-la para descriptografar o arquivo.
O BleepingComputer criptografou os arquivos em uma máquina virtual com um criptógrafo Black Basta de abril de 2023 para testar o decodificador.
Quando usamos o script decryptauto.py, ele recuperou automaticamente o keystream e descriptografou nosso arquivo, como pode ser visto abaixo.
No entanto, como dito anteriormente, esse decodificador só funciona em versões do Black Basta desde novembro de 2022 e até uma semana atrás.
Além disso, versões anteriores que anexaram a extensão .basta aos arquivos criptografados em vez de uma extensão de arquivo aleatória não podem ser descriptografadas usando esta ferramenta.
O decodificador só funciona em um arquivo de cada vez, então, se você quiser descriptografar pastas inteiras, precisará usar um script de shell ou o comando 'find', conforme mostrado abaixo.
Apenas certifique-se de substituir a extensão e os caminhos do arquivo conforme necessário.
Embora novas vítimas do Black Basta não consigam mais recuperar seus arquivos de graça, vítimas mais antigas podem ser mais sortudas se estavam à espera de um decodificador.
A gangue de ransomware Black Basta lançou sua operação em abril de 2022 e tornou-se a mais nova gangue de crimes cibernéticos a realizar ataques de extorsão dupla em vítimas corporativas.
Em junho de 2022, o Black Basta fez uma parceria com a operação de malware QBot (QakBot) para lançar o Cobalt Strike para acesso remoto em redes corporativas.
O Black Basta então usaria esses faróis para se espalhar lateralmente para outros dispositivos na rede, roubar dados e, finalmente, implantar criptografadores.
Como outras operações de ransomware voltadas para empresas, Black Basta criou um criptógrafo Linux para atacar máquinas virtuais VMware ESXi rodando em servidores Linux.
Pesquisadores também vincularam a gangue de ransomware ao grupo de hackers FIN7, uma gangue de crimes cibernéticos motivada financeiramente também conhecida como Carbanak.
Desde o seu lançamento, os atores da ameaça têm sido responsáveis por uma série de ataques, incluindo aqueles na Capita, Associação Americana de Dentistas, Sobeys, Knauf e Yellow Pages Canada.
Recentemente, a operação do ransomware atacou a Biblioteca Pública de Toronto, o maior sistema de bibliotecas públicas do Canadá.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...