2min Security

Kwetsbaarheid in Black Basta-ransomware maakt ontsleutelen mogelijk

Kwetsbaarheid in Black Basta-ransomware maakt ontsleutelen mogelijk

Onderzoekers hebben een decryptor-tool ontwikkeld om door Black Basta-ransomware getroffen bestanden te ontsleutelen.

SRLabs is erin geslaagd een kwetsbaarheid in de Black Basta-ransomware te benutten om een decryptor-tool te ontwikkelen. Hiermee kunnen bedrijven die door de ransomware zijn getroffen, hun versleutelde bestanden herstellen zonder losgeld te betalen.

De kwetsbaarheid in de Black Basta-ransomware zat in het gebruikte XChaCha20-versleutelingsalgoritme. Dit algoritme versleutelt de bestanden op getroffen systemen via een XOR-methode.

De onderzoekers ontdekten echter dat het kwaadaardige algoritme een stream-versleutelingscode gebruikt voor het versleutelen van een bestand. Deze code bestaat alleen uit nullen, maar de zogenoemde XOR-sleutel wordt wel op het bestand geschreven. Dit maakt het mogelijk de retrieval-sleutel te achterhalen.

Decryptor-tool van SRLabs

Voor dit proces heeft SRLabs een gratis decryptor tool ontwikkeld. De tool bestaat uit een reeks Python-scripts die helpen bij het herstellen van bestanden in verschillende scenario’s. Ze hebben ook een script met de naam ‘decryptauto.py’ uitgebracht waarmee een meer geautomatiseerde hersteloperatie van de sleutel kan worden uitgevoerd, gevolgd door het ontsleutelen van een bestand.

Altijd 5.000 bytes aan dataverlies

Helaas is de tool niet geschikt voor alle hoeveelheden met Black Basta versleutelde bestanden. Bestanden met een omvang van minder dan 5.000 bytes kunnen niet worden hersteld. Bestanden met een omvang tussen de 5.000 bytes en 1 GB kunnen volledig worden ontsleuteld.

Bij bestanden groter dan 1 GB gaat helaas de eerste 5.000 bytes verloren tijdens de hersteloperatie. De rest van de omvang kan wel worden hersteld.

Black Basta patcht kwetsbaarheid

De hackers van Black Basta lijken zich intussen bewust te zijn van de kwetsbaarheid en hebben al een patch doorgevoerd in hun ransomware. De decryptor die door SRLabs is uitgebracht, werkt daarom alleen voor versies van Black Basta vanaf november 2022 tot een week geleden (eind 2023).

Ook eerdere versies die de extensie .basta aan bestanden toevoegen, kunnen niet worden ontsleuteld met de tool.

Tip: Qakbot: hoe de autoriteiten het grootste botnet ter wereld vernietigden