Les chercheurs de Security Research Labs ont exploité une faille dans l'algorithme de chiffrement utilisé par le groupe de ransomware. La faille a depuis été corrigée par les cybercriminels.
Les victimes de Black Basta peuvent souffler un peu. Le rejeton de Conti, aux 100 millions de dollars extorqués selon Elliptic, a été contré par les hackers éthiques de Security Research Labs. Les chercheurs sont parvenus à créer et à publier sur GitHub « Black Basta Buster », un outil de déchiffrement.
Arroseur arrosé
Une fois n'est pas coutume, Security Research Labs, agissant comme des hackers, a exploité une faille dans l'algorithme de chiffrement utilisé par le groupe. « Nous avons examiné l'algorithme de cryptage et avons trouvé une faiblesse particulière pour la souche de ransomware utilisée par le ransomware Black Basta vers avril 2023 », ont déclaré les chercheurs.
L'outil de décryptage Black Basta Buster est en fait une collection de scripts Python qui permet de décrypter des fichiers dans différents scénarios. En détail, les fichiers peuvent être récupérés si le texte en clair de 64 octets cryptés est connu.
« Le fait qu'un fichier soit entièrement ou partiellement récupérable dépend de sa taille. Les fichiers d'une taille inférieure à 5 000 octets ne peuvent pas être récupérés. Pour les fichiers d'une taille comprise entre 5 000 octets et 1 Go, une récupération complète est possible. Pour les fichiers de plus de 1 Go, les 5 000 premiers octets seront perdus mais le reste pourra être récupéré », développe l'analyse.
Une faille déjà colmatée
Les chercheurs ont également déployé un script baptisé « decryptauto.py » qui permet, sur des versions antérieures de Black Basta, d'effectuer une récupération automatique de la clé, pour l'utiliser ensuite afin de décrypter un fichier. Le groupe de cybercriminels a depuis corrigé la faille dans leur programme. Les anciennes victimes de Black Basta pourront néanmoins tenter de récupérer leurs fichiers verrouillés, sans passer à la caisse.
Actif depuis le printemps 2022, Black Basta compte une longue liste de victimes. En France, il est connu pour s'en être pris au cristallier de luxe Baccarat, ou encore à ABB, un groupe suisse spécialisé dans l'automatisation.