Il rilascio di un decryptor che sfrutta una vulnerabilità nel ransomware Black Basta, noto per i danni inflitti alle vittime tra novembre 2022 e dicembre 2023, ha rappresentato un raggio di speranza per coloro che hanno subito attacchi da parte di questo pericoloso malware. I Security Research Labs (SRLabs) hanno sviluppato il decryptor, denominato Black Basta Buster, costituito da script Python in grado di decifrare i file bloccati in vari scenari.
L’efficacia di questo strumento era basata sulla scoperta di una falla nell’algoritmo di crittografia del ransomware. Sfruttando questa debolezza, i ricercatori sono riusciti a creare un tool in grado di sbloccare i file criptati durante gli attacchi. Purtroppo però, secondo quanto riferito da BleepingComputer, gli sviluppatori di Black Basta hanno corretto la vulnerabilità, rendendo il decryptor inutilizzabile per gli attacchi più recenti. Il decryptor, inoltre, non è compatibile con le varianti più vecchie del ransomware che utilizzavano l’estensione “.basta” anziché un’estensione casuale.
Lo sviluppo del Black Basta Buster
Secondo il rapporto dettagliato, il ransomware Black Basta impiega una crittografia basata su un flusso di chiavi ChaCha, eseguendo operazioni XOR su blocchi di 64 byte del file. La dimensione del file influisce sulla possibilità di recupero, con i file inferiori a 5.000 byte che non possono essere recuperati e quelli compresi tra 5.000 byte e 1 GB che sono recuperabili completamente.
Per i file superiori a 1 GB, i primi 5000 byte vanno persi, ma il resto può essere recuperato. I ricercatori hanno dichiarato che la completa o parziale recuperabilità di un file dipende dalle dimensioni del file, come detto, ma ancge dalla frequenza con cui il ransomware ha crittografato il file, richiedendo talvolta una revisione manuale per il recupero completo
In termini di difesa contro il ransomware, l’uso di un decryptor è sicuramente utile, ma è altrettanto importante adottare misure preventive. Salvatore Lombardo, esperto ICT e socio dell’Associazione italiana per la sicurezza informatica (Clusit), suggerisce diverse precauzioni. Tra queste, effettuare backup regolari dei dati critici, crittografare i dati sensibili, mantenere aggiornati i sistemi operativi e le soluzioni di sicurezza, utilizzare filtri antispam, formare il personale su e-mail di phishing e implementare soluzioni antivirus aggiornate.
Monitorare il traffico di rete per rilevare comportamenti sospetti, limitare gli accessi privilegiati, sensibilizzare il personale sulla sicurezza informatica e creare un piano di risposta agli incidenti dettagliato sono ulteriori passi cruciali. Infine, effettuare test periodici e simulazioni di attacchi contribuisce a valutare l’efficacia delle misure di difesa e apportare miglioramenti necessari.
