Un collettivo di esperti ha messo a punto uno strumento per decifrare i dati sequestrati dal ransomware Black Basta.
Nell’ambito della lotta incessante contro i ransomware, emerge una luce di speranza per le vittime dell’infame minaccia informatica nota come Black Basta. Recentemente, un gruppo di ricercatori di sicurezza indipendenti ha scovato una debolezza nell’algoritmo di criptazione di questo particolare tipo di malware, aprendo la via alla creazione di un decifrator gratuito. Questo rappresenta un’importante vittoria non solo tecnicamente, ma anche moralmente, mandando un forte messaggio ai cyber-criminali.
Da quando è saltato all’occhio del mondo della sicurezza informatica, nell’aprile del 2022, il gruppo dietro il ransomware Black Basta ha attirato l’attenzione non soltanto per la sua attività predatoria, ma anche per i metodi impiegati, che spiccano per la loro doppia estorsione. Attraverso un meticoloso lavoro di analisi delle transazioni sulla blockchain, è stato possibile stabilire un collegamento tra Black Basta e il noto gruppo di cybercriminali Conti, la cui attività cessò curiosamente in concomitanza con l’ascesa di Black Basta.
Lo studio dell’algoritmo di crittografia adottato da questo ransomware ha rivelato dei punti deboli nella variante usata intorno ad aprile 2023. Questo sistema criptava i dati utilizzando una chiave di cifratura basata su ChaCha, incidendo sui singoli blocchi di 64 byte dei file infetti. Grazie a questa scoperta, i ricercatori hanno dedotto che, a seconda delle dimensioni del file, sarebbe possibile recuperare i dati criptati qualora si potesse disporre di 64 byte in chiaro.
Tuttavia, è stato anche evidenziato che la debolezza non influiva sulla cifratura dei primi 5000 byte di un file, rendendo impossibile il loro recupero. Da ciò consegue che i file di dimensioni inferiori ai 5000 byte non sono recuperabili.
Nonostante le restrictività e le specificità dei criteri di recupero, lo strumento sviluppato da SRLabs si staglia come una preziosa risorsa per le vittime del ransomware, consentendo di individuare se la decifratura sia un’opzione vantaggiosa per i loro file. In alcuni casi, come per i file contenenti blocchi di zero cifrati, il recupero dei dati è stato dichiarato fattibile senza revisioni manuali.
Purtroppo, la buona notizia viene temperata dalla notizia che i criminali alle spalle di Black Basta hanno già proceduto a correggere il problema che permetteva la decifratura, rendendo il decryptor effettivamente utile soltanto per i file criptati prima di dicembre 2023. Ciò sottolinea la natura dinamica e sempre in evoluzione del panorama dei ransomware e la necessità di rimanere proattivi e sempre aggiornati nelle strategie di difesa.
La tecnologia e la resilienza dimostrate dalla comunità di ricerca in cybersecurity sono fondamentali per contrastare efficacemente le minacce crescenti nel mondo digitale e per fornire strumenti di rimedio alle vittime di queste forme di cyber-estorsione. La disponibilità di un decrittatore gratuito per Black Basta è un esempio di come la collaborazione e la condivisione di conoscenze possono portare a soluzioni concrete contro attori malevoli e salvaguardare i dati dei legittimi proprietari.
30