La mejora duró poco para algunas víctimas del ransomware Black Basta, que estuvo particularmente activo en 2023 (un estudio reciente estima su extorsión en más de 100 millones de dólares). Los expertos de SRLabs (Security Research Labs) han desarrollado una herramienta de descifrado capaz de desbloquear archivos cifrados por ransomware. Este módulo, denominado "Black Basta Buster", explota una debilidad en el algoritmo de cifrado utilizado por los ciberdelincuentes, que desde entonces ha sido corregida.

“Nuestro análisis sugiere que los archivos se pueden recuperar si se conoce el texto plano cifrado de 64 bytes. Que un archivo sea total o parcialmente recuperable depende de su tamaño”, explica la descripción del método. en el repositorio de SRLabs GitHub. Según esta documentación, “los archivos de menos de 5000 bytes no se pueden recuperar. Para aquellos con un tamaño entre 5000 bytes y 1 GB, es posible una recuperación completa. Para archivos de más de 1 GB, los primeros 5000 bytes se perderán, pero el resto se podrá recuperar.

Una falla en el proceso de cifrado se solucionó rápidamente

En su método de cifrado, la banda Black Basta se basa en el cifrado de un archivo en XOR mediante un flujo de claves de 64 bytes generado por el algoritmo XChaCha20. Cuando este último se utiliza para cifrar un archivo cuyos bytes contienen sólo ceros, la propia clave XOR se escribe en el archivo, lo que permite recuperarlo. Por lo tanto, los investigadores pudieron crear un descifrador que incluía una colección de scripts de Python para desbloquear los archivos en diferentes escenarios.

Los expertos destacan que esta herramienta funciona para las versiones de Black Basta entre noviembre de 2022 y mediados de diciembre de 2023. De hecho, desde entonces el grupo ha modificado su proceso de cifrado. Por lo tanto, el descifrador ha dejado de funcionar, pero aún así puede salvar a varias empresas recuperando archivos bloqueados de forma gratuita.