L'éclaircie aura été de courte durée pour certaines victimes du ransomware Black Basta particulièrement actif en 2023 (une récente étude estime à plus de 100 M$ ses extorsions). Des experts de la société SRLabs (Security Research Labs) ont élaboré un outil de déchiffrement capable de débloquer les fichiers chiffrés par le ransomware. Nommé « Black Basta Buster », ce module exploite une faiblesse dans l’algorithme de chiffrement utilisé par les cybercriminels, corrigée depuis.
« Notre analyse suggère que les fichiers peuvent être récupérés si le texte en clair de 64 octets cryptés est connu. Le fait qu'un fichier soit entièrement ou partiellement récupérable dépend de sa taille », explique la description de la méthode dans le dépôt GitHub de SRLabs. Selon cette documentation, « les fichiers d'une taille inférieure à 5 000 octets ne peuvent pas être récupérés. Pour ceux dont la taille est comprise entre 5 000 octets et 1 Go, une récupération complète est possible. Pour les fichiers d'une taille supérieure à 1 Go, les 5 000 premiers octets seront perdus, mais le reste pourra être récupéré ».
Une faille dans le processus de chiffrement rapidement colmatée
Dans sa méthode de chiffrement, le gang Black Basta s’appuie sur le cryptage d’un fichier en XOR via un flux de clés de 64 octets généré par l’algorithme XChaCha20. Quand ce dernier sert à chiffrer un fichier dont les octets ne contiennent que des zéros, la clé XOR elle-même est écrite dans le fichier, ce qui permet de la récupérer. Les chercheurs ont donc pu créer un décrypteur comprenant une collection de scripts Python pour débloquer les fichiers dans différents scénarios.
Les experts soulignent que cet outil fonctionne pour les versions de Black Basta entre novembre 2022 et mi-décembre 2023. En effet, le groupe a depuis modifié son processus de chiffrement. Le décrypteur est donc devenu inopérant, mais peut néanmoins sauver plusieurs entreprises en récupérant gratuitement des fichiers verrouillés.