I ricercatori hanno sfruttato una debolezza in un particolare ceppo del virus Nero Basta ransomware per rilasciare a decrittografare per il malware, ma non recupera tutti i file crittografati dalla prolifica banda di criminali informatici.
Società di ricerca e consulenza sulla sicurezza SRLabs ha rilasciato lo strumento, appropriatamente chiamato Black Basta Buster, che sfrutta una vulnerabilità nell'algoritmo di crittografia di a Nero Basta ceppo di ransomware utilizzato dal gruppo intorno ad aprile dello scorso anno. Tuttavia, ci sono alcune limitazioni sulla recuperabilità totale o parziale di un file in base ai requisiti e alle dimensioni del testo in chiaro, hanno osservato i ricercatori.
Per prima cosa, i file possono essere recuperati uno alla volta “se si conosce il testo in chiaro di 64 byte crittografati”, secondo il descrizione del decrittatore Black Basta sulla pagina GitHub di SRLabs.
"In altre parole, conoscere 64 byte non è sufficiente di per sé, poiché i byte di testo in chiaro conosciuti devono trovarsi in una posizione del file soggetta a crittografia in base alla logica del malware di determinare quali parti del file crittografare", secondo alla posta. "Per alcuni tipi di file, è possibile conoscere 64 byte di testo in chiaro nella posizione corretta, in particolare per le immagini del disco della macchina virtuale."
Inoltre, è possibile recuperare file di dimensioni comprese tra 5,000 byte e 1 gigabyte; tuttavia, per file più grandi di 1 GB, i primi 5,000 byte del file andranno persi, anche se il resto potrà essere recuperato, secondo il post.
Inoltre, poiché il decryptor sfrutta una debolezza in un ceppo specifico del ransomware Black Basta, le organizzazioni sono state prese di mira dopo che il gruppo ha aggiornato il ceppo per correggere il bug, cosa che è stata fatta a metà dicembre, secondo un post sul blog pubblicato il 2 gennaio da Malwarebytes: molto probabilmente saranno sfortunati se tentano di decrittografare i file con lo strumento.
Tuttavia, secondo Malwarebytes, almeno 153 vittime i cui dati sono trapelati sul sito Dark Web di Black Basta durante il periodo di funzionamento del decryptor potrebbero essere idonei a utilizzare il decryptor per recuperare i file bloccati dal gruppo ransomware.
Sfruttare la debolezza della crittografia
Nero Basta è apparso per la prima volta sulla scena del ransomware come operatore a doppia estorsione e in rapida evoluzione nell'aprile 2022, attaccando almeno 90 vittime nei primi cinque mesi utilizzando un sofisticato schema di crittografia che Trend Micro ha osservato utilizza binari unici per ciascuna delle sue vittime. Alcuni ricercatori hanno attribuito a Black Basta FIN7, un'organizzazione criminale informatica motivata finanziariamente si stima che abbia rubato oltre 1.2 miliardi di dollari da quando è emerso nel 2012.
Black Basta Buster sfrutta un difetto in un keystream ChaCha non sofisticato utilizzato per crittografare XOR blocchi di file presi di mira lunghi 64 byte, secondo la descrizione GitHub di SRLabs.
Il ransomware crittografa i primi 5,000 byte di un file; e poi gli stessi 64 byte vengono poi utilizzati per crittografare XOR il resto dei blocchi da crittografare.
La crittografia di Black Basta utilizza correttamente il keystream per i primi 5,000 byte del file, a seconda della sua dimensione, motivo per cui tali byte vengono persi in file più grandi, secondo SRLabs; ma per i pezzi successivi, il meccanismo di crittografia può essere reso in chiaro e quindi recuperato.
Le immagini dei dischi virtualizzati hanno le migliori possibilità di essere recuperate, perché le partizioni dei dati effettive e i file system tendono ad avviarsi più tardi, hanno osservato i ricercatori.
Recupero e difesa dal ransomware
Il modo più semplice per le organizzazioni idonee all'utilizzo il decrittore per determinare se possono conoscere il testo in chiaro di 64 byte crittografati necessari per il recupero dei file è necessario trovare una sequenza di zeri nel file, secondo Malwarebytes.
"Potrebbe essere possibile decrittografare file di grandi dimensioni che non contengono blocchi sufficientemente grandi di zero byte [stringhe senza dati], ma sarà necessaria una versione non crittografata del file di destinazione", si legge nel post. "In molti casi ciò vanificherebbe lo scopo della decrittografia, ma potrebbero esserci casi limite in cui si dispone di una versione precedente del file di destinazione che soddisfa i requisiti, ma non contiene le informazioni che si desidera decrittografare."
Naturalmente, per evitare di dover utilizzare un decryptor ransomware, le organizzazioni possono fare del loro meglio per evitare compromessi. Malwarebytes ha consigliato di bloccare le forme comuni di ingresso degli aggressori correggendo rapidamente le vulnerabilità e disabilitando o rafforzando l’accesso remoto come modi per difendersi dagli autori di ransomware.
Inoltre, le organizzazioni dovrebbero utilizzare anche software di sicurezza degli endpoint per prevenire le intrusioni, nonché il rilevamento e la risposta degli endpoint (EDR) e/o il rilevamento e la risposta gestiti (MDR) per rilevare attività insolite nel caso in cui gli aggressori trovassero un modo per accedere al sistema. Secondo l’azienda, la creazione di backup offline fuori sede può anche aiutare le organizzazioni a ripristinare rapidamente file e funzioni aziendali in risposta a un attacco ransomware.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/black-basta-buster-exploits-ransomware-bug-file-recovery
