Los especialistas en seguridad informática han desarrollado un descifrador que aprovecha una vulnerabilidad en el ransomware Black Basta. Esta herramienta permite a las víctimas, afectadas desde noviembre de 2022 hasta recientemente, recuperar sus archivos sin costo.
El descifrador, conocido como 'Black Basta Buster', es una creación de Security Research Labs (SRLabs). Este equipo descubrió una debilidad en el algoritmo de cifrado del ransomware, que facilita la recuperación de la clave de cifrado ChaCha usada para aplicar XOR a un archivo.
Según el análisis, la recuperación de archivos es viable si se conoce un texto sin formato de 64 bytes que haya sido cifrado. La posibilidad de recuperar un archivo íntegramente depende de su tamaño. Archivos menores a 5000 bytes no son recuperables, pero para aquellos entre 5000 bytes y 1 GB, la recuperación total es factible. En archivos mayores a 1 GB, se perderán los primeros 5000 bytes, pero el resto puede ser restaurado.
El proceso de cifrado de Black Basta involucra aplicar XOR al contenido del archivo con una clave de 64 bytes generada mediante el algoritmo XChaCha20. Un fallo en este sistema era la reutilización del mismo flujo de claves durante el cifrado, lo que permitía que los segmentos de datos de 64 bytes compuestos solo por ceros se transformaran en la clave simétrica de 64 bytes, que luego podía ser extraída para descifrar el archivo completo.
Esta técnica se muestra claramente cuando se aplica XOR a dos segmentos de 'ceros' de 64 bytes, revelando el flujo de claves usado en el cifrado.
Aunque los archivos más pequeños podrían no ser descifrables, los más grandes, como los discos de máquinas virtuales, suelen ser recuperables debido a la cantidad de secciones de "byte cero" que contienen. Las imágenes de discos virtualizados tienen altas probabilidades de recuperación, ya que las particiones reales y sus sistemas de archivos suelen iniciarse más tarde en el archivo. A pesar de que el ransomware dañe la tabla de particiones MBR o GPT, herramientas como "testdisk" pueden a menudo restaurarlas o reconstruirlas.
Para aquellos archivos que no contengan grandes fragmentos de datos de cero bytes, SRLabs indica que aún es posible recuperar archivos si se dispone de una versión previa no cifrada con datos similares.
Se ha informado que algunas empresas de respuesta a incidentes forenses digitales (DFIR) conocían esta vulnerabilidad y la habían estado utilizando durante meses para descifrar computadoras de sus clientes sin necesidad de pagar rescates.
Te podrá interesar leer: Black Basta Ransomware: ¿Cómo protegerse de él?
Los expertos de SRLabs han desarrollado un descifrador conocido como Black Basta Buster. Este programa, una serie de scripts de Python, facilita la descodificación de archivos bajo diversas condiciones.
Dentro de esta herramienta, los investigadores han incorporado un script denominado 'decryptauto.py', diseñado para recuperar automáticamente la clave de cifrado y usarla para descifrar archivos.
Para evaluar su eficacia, se cifraron archivos en una máquina virtual usando un cifrador Black Basta a partir de abril de 2023. Al emplear el script decryptauto.py, se logró recuperar el flujo de claves y descifrar un archivo de prueba con éxito.
Cabe mencionar que este descifrador es efectivo únicamente en versiones de Black Basta desde noviembre de 2022 hasta aproximadamente una semana atrás. Las variantes anteriores, que agregaban la extensión .basta a los archivos cifrados, no son compatibles con esta herramienta.
El Black Basta Buster se aplica a un archivo por vez. Para descifrar directorios completos, es necesario usar un script de shell o el comando "buscar", adaptando la extensión y las rutas de archivos según lo requiera el caso.
Aunque las víctimas recientes de Black Basta no podrán beneficiarse de esta herramienta para la recuperación gratuita de sus archivos, quienes fueron afectados antes podrían tener más suerte si han estado a la espera de un descifrador.
Podrá interesarte: Detección de Ataques de Ransomware con Wazuh
La banda de ransomware Black Basta inició sus operaciones en abril de 2022, convirtiéndose rápidamente en un nuevo actor significativo en el crimen cibernético, especializándose en ataques de doble extorsión a corporaciones.
En junio de 2022, Black Basta se asoció con la operación de malware QBot (QakBot), dejando de lado Cobalt Strike para obtener acceso remoto a redes corporativas. Utilizando estas conexiones, Black Basta se propagaba lateralmente por la red, robando datos y desplegando cifradores.
Como muchas otras operaciones de ransomware enfocadas en empresas, Black Basta desarrolló un cifrador específico para Linux, dirigido a máquinas virtuales VMware ESXi que operan en servidores Linux. Los investigadores también han establecido vínculos entre la banda de ransomware Black Basta y FIN7, un conocido grupo de ciberdelincuentes financieros también llamado Carbanak.
Desde su aparición, Black Basta ha sido responsable de numerosos ataques, afectando a organizaciones como Capita, la American Dental Association, Sobeys, Knauf y Yellow Pages Canada.
Uno de sus ataques más recientes fue contra la Biblioteca Pública de Toronto, la mayor red de bibliotecas públicas en Canadá.