AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Decrittografia Black Basta: scoperto difetto nel ransomware e creato un decifratore

SRLabs smaschera la finta invincibilità di Black Basta: la crittografia compromessa offre un baluardo di speranza per le vittime

I ricercatori di SRLabs hanno scoperto un difetto nel software di cifratura del ransomware Black Basta, creando un decifratore per recuperare i file crittografati. Il decifratore, chiamato 'Black Basta Buster', sfrutta una debolezza nell'algoritmo di criptazione utilizzato. Tuttavia, la falla è stata corretta, impedendo l'uso di tale tecnica per futuri attacchi del ransomware.

This pill is also available in English language

Ricercatori di SRLabs hanno identificato un punto debole nel software di cifratura di Black Basta, risultando nella creazione di un decifratore che approfitta di questa vulnerabilità. Il decifratore offre alle vittime di Black Basta da novembre 2022 fino al recente passato la possibilità di recuperare i propri file senza costi. Tuttavia, il bug nel meccanismo di cifratura è stato corretto circa una settimana fa, cosa che impedisce l'utilizzo di tale tecnica nei futuri attacchi del ransomware.

Analisi tecnica del difetto di Black Basta

Con il nome di "Black Basta Buster", il decifratore sfrutta una debolezza nell'uso dell'algoritmo di criptazione che compie i ransomware per permettere il recupero del flusso di cifratura ChaCha usato nella criptazione XOR dei file. Files con dimensioni minori di 5000 byte non possono essere ripristinati, mentre per i file da 5000 byte fino a 1GB è possibile un recupero completo. Nei dati superiori a 1GB, i primi 5000 byte andrebbero persi ma il resto è recuperabile.

Funzionamento e limitazioni del decifratore

L'utilizzo di cifrari a flusso, come XChaCha20, con file contenenti solo byte a zero culmina alla scrittura della chiave stessa nel file, rendendola così rilevabile. Gli esperti del settore hanno riscontrato un bug che causava la riutilizzazione di sequenze di cifratura da 64 byte, consentendo l'estrazione della chiave di simmetria. SRLabs ha anche sviluppato script Python che assistono nell'automatizzazione del processo di recupero delle chiavi e nella decrittazione dei file.

Il gruppo ransomware Black Basta

Il collettivo di cybercriminali conosciuto come Black Basta è emerso nell'aprile 2022 come responsabile di aggressioni informatiche mirate di tipo double-extortion su obiettivi aziendali. Si è inoltre collegato al malware QBot per la realizzazione degli attacchi, con un focus sulle macchine virtuali VMware ESXi. Gli attacchi di Black Basta si sono estesi a numerose organizzazioni, tra cui la biblioteca pubblica di Toronto, evidenziando il loro rapido e dannoso ascendente nel panorama cybercriminale.

Seguici su Threads per altre pillole come questa

31/12/2023 11:21

Marco Verro

Ultime pillole

Il successo dell'Italia nella sicurezza informaticaCome l'Italia ha raggiunto l'eccellenza nella sicurezza informatica globale: strategie, collaborazioni e successi internazionali

Presunta violazione dei sistemi di Deloitte da parte di IntelBrokerServer esposto: come la sicurezza di Deloitte potrebbe essere stata compromessa da un cyber attacco

Infezioni di Vo1d su box Android TV: come proteggere i tuoi dispositiviScopri le misure essenziali per proteggere i tuoi box Android TV dal temibile malware Vo1d e mantenere i tuoi dispositivi al sicuro da minacce informatiche

Attacco hacker in Libano: Hezbollah sotto tiroShock tecnologico e feriti: la guerra cibernetica colpisce Hezbollah in Libano