Les chercheurs ont créé un décrypteur qui exploite une faille dans le ransomware Black Basta, permettant aux victimes de récupérer leurs fichiers gratuitement.
Le décrypteur permet aux victimes de Black Basta de novembre 2022 à ce mois-ci de potentiellement récupérer leurs fichiers gratuitement. Cependant, Breachtrace a appris que les développeurs de Black Basta avaient corrigé le bogue dans leur routine de cryptage il y a environ une semaine, empêchant cette technique de décryptage d’être utilisée dans de nouvelles attaques.
La faille noire Basta
Le décrypteur « Black Basta Buster » provient des Laboratoires de recherche en sécurité (SRLabs), qui ont découvert une faiblesse dans l’algorithme de cryptage utilisé par les chiffreurs du gang de ransomwares qui permet de découvrir le flux de clés ChaCha utilisé pour XOR crypter un fichier.
« Notre analyse suggère que les fichiers peuvent être récupérés si le texte en clair de 64 octets cryptés est connu. Qu’un fichier soit entièrement ou partiellement récupérable dépend de la taille du fichier », explique la rédaction de la méthode dans le référentiel GitHub de SRLabs.
« Les fichiers d’une taille inférieure à 5000 octets ne peuvent pas être récupérés. Pour les fichiers d’une taille comprise entre 5000 octets et 1 Go, une récupération complète est possible. Pour les fichiers de plus de 1 Go, les 5000 premiers octets seront perdus mais le reste pourra être récupéré. »
Lorsque Black Basta crypte un fichier, il extrait le contenu à l’aide d’un flux de clés de 64 octets créé à l’aide de l’algorithme XChaCha20. Cependant, lors de l’utilisation d’un chiffrement de flux pour chiffrer un fichier dont les octets ne contiennent que des zéros, la clé XOR elle-même est écrite dans le fichier, permettant la récupération de la clé de chiffrement.
Michael Gillespie, expert en ransomware, a déclaré à Breachtrace que Black Basta avait un bogue dans lequel ils réutilisaient le même flux de clés pendant le cryptage, provoquant ainsi la conversion de tous les blocs de données de 64 octets contenant uniquement des zéros en clé symétrique de 64 octets. Cette clé peut ensuite être extraite et utilisée pour déchiffrer l’intégralité du fichier.
Ceci est illustré par l’image ci-dessous, où deux morceaux de « zéros » de 64 octets ont été XORed et contiennent maintenant le flux de clés utilisé pour chiffrer le fichier.
Bien qu’il ne soit pas possible de déchiffrer des fichiers plus petits, les fichiers plus volumineux tels que les disques de machines virtuelles peuvent généralement être déchiffrés, car ils contiennent un grand nombre de sections « zéro octet ».
« Les images de disque virtualisées ont cependant de grandes chances d’être récupérées, car les partitions réelles et leurs systèmes de fichiers ont tendance à démarrer plus tard », explique SRLabs.
« Le ransomware a donc détruit la table de partition MBR ou GPT, mais des outils tels que « testdisk » peuvent souvent les récupérer ou les régénérer. »
Pour les fichiers qui ne contiennent pas de gros morceaux de données de zéro octet, SRLabs indique qu’il peut toujours être possible de récupérer des fichiers si vous avez une ancienne version non chiffrée avec des données similaires.
Breachtrace a été informé que certaines sociétés DFIR étaient au courant de la faille et l’utilisaient depuis des mois, déchiffrant les ordinateurs de leurs clients sans avoir à payer de rançon.
Le décrypteur Black Basta Buster
Les chercheurs de SRLabs ont publié un décrypteur appelé Black Basta Buster qui consiste en une collection de scripts Python qui vous aident à déchiffrer des fichiers selon différents scénarios.
Cependant, les chercheurs ont créé un script appelé ‘decryptauto.py’ qui tente d’effectuer une récupération automatique de la clé, puis de l’utiliser pour déchiffrer le fichier.
Le décrypteur ne fonctionne que sur un fichier à la fois, donc si vous souhaitez décrypter des dossiers entiers, vous devez utiliser un script shell ou la commande « rechercher », comme indiqué ci-dessous. Assurez-vous simplement de remplacer l’extension et les chemins de fichier si nécessaire.
find . -name "*.4xw1woqp0" -exec ../black-basta-buster/decryptauto.py "{}" \;
Alors que les nouvelles victimes noires de Basta ne pourront plus récupérer leurs fichiers gratuitement, les victimes plus âgées auront peut-être plus de chance si elles demandaient un déchiffreur.
Qui est Black Basta?
Le gang de ransomwares Black Basta a lancé ses opérations en avril 2022 et est devenu le plus récent gang de cybercriminalité menant des attaques de double extorsion contre les entreprises victimes.
En juin 2022, Black Basta s’était associé à QBot malware operation (QakBot) pour abandonner Cobalt Strike pour l’accès à distance sur les réseaux d’entreprise. Black Basta utiliserait ensuite ces balises pour se propager latéralement à d’autres appareils du réseau, voler des données et finalement déployer des chiffreurs.
Comme d’autres opérations de ransomware ciblant les entreprises, Black Basta a créé un chiffreur Linux pour cibler les machines virtuelles VMware ESXi exécutées sur des serveurs Linux.
Les chercheurs ont également lié le gang de ransomwares au groupe de piratage FIN7, un gang de cybercriminalité à motivation financière également connu sous le nom de Carbanak.
Depuis son lancement, les acteurs de la menace ont été responsables d’un flot d’attaques, notamment celles contre Capita, l’American Dental Association, Sobeys, Knauf et Pages Jaunes Canada.
Récemment, l’opération ransomware a attaqué la Bibliothèque publique de Toronto, le plus grand système de bibliothèques publiques du Canada.