Cercetătorii de la Security Research Labs (SRLabs) au dezvoltat un instrument numit „Black Basta Buster,” care le permite victimelor ransomware-ului Black Basta să-și recupereze fișierele fără să plătească răscumpărarea.
Acest decriptor funcționează prin exploatarea unei erori din algoritmul de criptare folosit de grupul de hackeri. Ransomware-ul Black Basta, activ din aprilie 2022, criptează fișierele folosind un algoritm special. Însă, atunci când sunt criptate fișiere care conțin doar date „zero” (octeți goi), cheia de criptare este scrisă accidental în fișier. Această slăbiciune permite extragerea cheii și decriptarea fișierelor.
Decriptorul este eficient pentru fișierele criptate până în decembrie 2024, dar cercetătorii au descoperit că Black Basta a remediat recent această eroare, ceea ce înseamnă că instrumentul nu mai funcționează pentru atacurile noi. Totuși, fișierele mari, cum ar fi imaginile de discuri virtuale, pot fi decriptate cu succes datorită acestei erori.
Grupul Black Basta folosește metode avansate de atac, inclusiv colaborarea cu malware-ul QBot pentru a accesa rețele corporative și a fura date. De asemenea, atacă serverele Linux folosind criptatoare special concepute pentru mașinile virtuale VMware ESXi.
Acest progres este un pas important în lupta împotriva ransomware-ului, dar evidențiază și nevoia de măsuri de securitate cibernetică mai bune pentru a preveni astfel de atacuri.
