Il ransomware Black Basta, che tante vittime ha mietuto negli ultimi mesi, fa adesso un po’ meno paura: i ricercatori di sicurezza dei Security Research Labs (SRLabs) hanno, infatti, rilasciato un decryptor gratuito che consente di recuperare quasi del tutto i file bloccati: ribattezzato Black Basta Buster, il tool consiste in una raccolta di script Python che aiutano a decriptare i file in diversi scenari.
In particolare, i ricercatori hanno individuato una falla nell’algoritmo di crittografia del ransomware e, sfruttando tale debolezza, sono riusciti a sviluppare il tool di sblocco dei file criptati nel corso degli attacchi condotti dal mese di novembre 2022 allo scorso dicembre 2023.
La cattiva notizia è che, secondo quanto riportato da BleepingComputer, gli sviluppatori di Black Basta hanno nel frattempo corretto il bug nella loro routine di crittografia, rendendo di fatto inutilizzabile il decryptor per ripristinare i propri sistemi in seguito agli attacchi più recenti del ransomware.
Inoltre, il decryptor non funziona con le varianti più vecchie del ransomware che aggiungevano l’estensione “.basta” ai file crittografati invece di un’estensione casuale.
Indice degli argomenti
Il decryptor per il ransomware Black Basta
I ricercatori di SRLabs hanno analizzato l’algoritmo di crittografia utilizzato dal ransomware Black Basta, scoprendo una specifica vulnerabilità nella variante utilizzata dalla banda criminale intorno al mese di aprile 2023.
Secondo il dettagliato report, il ransomware impiega una crittografia basata su un flusso di chiavi ChaCha, che viene utilizzato per eseguire operazioni XOR su blocchi di 64 byte del file. I ricercatori hanno quindi stabilito che la posizione dei blocchi criptati è determinata dalla dimensione del file, come indicato nel file ranges.py.
A seconda delle dimensioni del file, il ransomware cripta i primi 5.000 byte. La recuperabilità totale o parziale di un file dipende, quindi, dalla sua dimensione. I file di dimensioni inferiori a 5.000 byte non possono essere recuperati. Per i file di dimensioni comprese tra 5.000 byte e 1 GB è invece possibile il recupero completo.
Per i file di dimensioni superiori a 1 GB, i primi 5000 byte andranno persi ma il resto potrà essere recuperato.
“La nostra analisi suggerisce che i file possono essere recuperati se si conosce il testo in chiaro dei 64 byte crittografati. Il fatto che un file sia completamente o parzialmente recuperabile dipende dalle dimensioni del file”, hanno aggiunto i ricercatori, secondo cui “a seconda di quante volte e in che misura il ransomware ha crittografato il file, è poi necessaria una revisione manuale per poter recuperare completamente un file”.
Cosa sappiamo del collettivo ransomware Black Basta
Ricordiamo che il collettivo Black Basta è in attività almeno dal mese di aprile 2022 e, similmente ad altre operazioni di ransomware, adotta un modello di attacco basato su doppia estorsione.
Uno studio congiunto condotto da Elliptic e Corvus Insurance ha rivelato che il collettivo ha accumulato almeno 107 milioni di dollari in pagamenti di riscatti in Bitcoin dall’inizio del 2022. Secondo gli esperti, la banda del ransomware ha infettato oltre 329 vittime, molte anche in Italia.
Inoltre, dallo studio delle transazioni blockchain, i ricercatori hanno identificato un legame evidente tra Black Basta e il Gruppo Conti, che ha interrotto le proprie attività proprio nel 2022, quando il gruppo Black Basta è apparso nel panorama delle minacce.
Ransomware recovery, cosa bisogna fare per battere il nemico
Le soluzioni per difendersi dal ransomware
La disponibilità di un decryptor con cui sbloccare i propri file in seguito a un attacco ransomware rappresenta sicuramente un valido aiuto per tentare il ripristino dei sistemi.
Prevenire, però, è sempre meglio che curare e per difendersi da questa minaccia è sempre utile adottare alcuni accorgimenti utili a mitigare il rischio, come ci suggerisce Salvatore Lombardo, esperto ICT e socio dell’Associazione italiana per la sicurezza informatica (Clusit):
- Effettuare backup regolari dei dati critici e assicurarsi che siano isolati da reti accessibili dagli utenti. In caso di attacco ransomware, i dati possono essere ripristinati da backup sicuri.
- Crittografare i dati sensibili memorizzati sui dispositivi e server. In caso di compromissione, i dati crittografati sono più difficili da utilizzare, senza la chiave di decrittazione corretta, per eventuali data leak e richieste di doppie estorsioni da parte delle bande ransomware.
- Mantenere costantemente aggiornati i sistemi operativi, le applicazioni e le soluzioni di sicurezza per correggere eventuali vulnerabilità.
- Utilizzare filtri antispam e formare il personale a riconoscere e evitare e-mail di phishing che potrebbero essere utilizzate come primo punto di accesso per distribuire malware.
- Implementare soluzioni di sicurezza antivirus e antimalware aggiornate per proteggere i sistemi da minacce note.
- Monitorare il traffico di rete per rilevare comportamenti sospetti tipici della killchain di un attacco ransomware.
- Limitare gli accessi privilegiati solo ai dipendenti che ne hanno effettivamente bisogno, revocando quelli non necessari.
- Formare e sensibilizzare il personale sulla sicurezza informatica e sui rischi legati al ransomware, insegnando loro come riconoscere ed evitare le minacce online.
- Creare un piano di risposta agli incidenti dettagliato che delinei le azioni da intraprendere in caso di attacco ransomware, incluso il ripristino da backup e la comunicazione con le autorità competenti.
Infine, è utile effettuare periodiche sessioni di test e simulazioni di attacchi per valutare l’efficacia delle misure di difesa adottate e apportare eventuali miglioramenti.
