Pesquisadores criaram um descriptografador que explora uma falha no ransomware Black Basta e permite que as vítimas recuperem seus arquivos gratuitamente. Esse descriptografador permite atende vítimas do Black Basta de novembro de 2022 a dezembro de 2023 recuperem seus arquivos potencialmente gratuitamente.
A péssima notícia é que o BleepingComputer descobriu que os desenvolvedores do Black Basta corrigiram a falha em sua rotina de criptografia há cerca de uma semana, evitando que essa técnica de descriptografia fosse usada em ataques mais recentes.
A falha do Black Basta
O descriptografador Black Basta Buster vem do Security Research Labs (SRLabs), que encontrou uma fraqueza no algoritmo de criptografia usado pelos criptografadores da gangue de ransomware que permite a descoberta do fluxo de chaves ChaCha usado para criptografar um arquivo XOR.
Nossa análise sugere que os arquivos podem ser recuperados se o texto simples de 64 bytes criptografados for conhecido. Se um arquivo é total ou parcialmente recuperável depende do tamanho do arquivo.
Arquivos com tamanho inferior a 5.000 bytes não podem ser recuperados. Para arquivos entre 5.000 bytes e 1 GB, a recuperação total é possível. Para arquivos maiores que 1 GB, os primeiros 5.000 bytes serão perdidos, mas o restante poderá ser recuperado.
Quando Black Basta criptografa um arquivo, ele faz um XOR do conteúdo usando um fluxo de chaves de 64 bytes criado usando o algoritmo XChaCha20. Entretanto, ao usar uma cifra de fluxo para criptografar um arquivo cujos bytes contêm apenas zeros, a própria chave XOR é gravada no arquivo, permitindo a recuperação da chave de criptografia.
O especialista em ransomware Michael Gillespie disse ao BleepingComputer que Black Basta tinha uma falha onde eles reutilizavam o mesmo fluxo de chaves durante a criptografia, fazendo com que todos os pedaços de dados de 64 bytes contendo apenas zeros fossem convertidos para a chave simétrica de 64 bytes. Essa chave pode então ser extraída e usada para descriptografar o arquivo inteiro.
Isso é ilustrado pela imagem abaixo, onde dois pedaços de ‘zeros’ de 64 bytes foram submetidos a XOR e agora contêm o fluxo de chaves usado para criptografar o arquivo.
Embora a descriptografia de arquivos menores possa não ser possível, arquivos maiores, como discos de máquinas virtuais, geralmente podem ser descriptografados, pois contêm um grande número de seções de ‘zero byte’.
Para arquivos que não contêm grandes blocos de dados de zero bytes, o SRLabs diz que ainda pode ser possível recuperar arquivos se você tiver uma versão mais antiga não criptografada com dados semelhantes.
O BleepingComputer foi informado de que algumas empresas DFIR estavam cientes da falha e a utilizavam há meses, descriptografando os computadores de seus clientes sem ter que pagar resgate.
O descriptografador Black Basta Buster
Os pesquisadores do SRLabs lançaram um descriptografador chamado Black Basta Buster que consiste em uma coleção de scripts python que auxiliam na descriptografia de arquivos em diferentes cenários. No entanto, os pesquisadores criaram um script chamado ‘decryptauto.py’ que tenta realizar a recuperação automática da chave e depois usá-la para descriptografar o arquivo.
No entanto, como afirmado anteriormente, este descriptografador só funciona nas versões Black Basta desde novembro de 2022 e até uma semana atrás. Além disso, versões anteriores que acrescentavam a extensão .basta a arquivos criptografados, em vez de uma extensão de arquivo aleatória, não podem ser descriptografadas usando esta ferramenta.
O descriptografador funciona apenas em um arquivo por vez, portanto, se você deseja descriptografar pastas inteiras, você precisa usar um script de shell ou o comando “find”, conforme mostrado abaixo. Apenas certifique-se de substituir a extensão e os caminhos de arquivo conforme necessário.
find . -name "*.4xw1woqp0" -exec ../black-basta-buster/decryptauto.py "{}" \;