Các nhà nghiên cứu tại SRLabs đã phát hành một bộ giải mã có tên gọi Black Basta Buster bao gồm một tập hợp các tập lệnh python hỗ trợ người dùng có thể giải mã các tệp trong nhiều tình huống khác nhau. Black Basta Buster có thể phát hiện ra keystream ChaCha để mã hóa một tệp XOR sử dụng bởi mã độc tống tiền Black Basta.
Bộ giải mã cho phép các nạn nhân của mã độc tống tiền Black Basta từ thời điểm tháng 11/2022 đến nay có khả năng khôi phục miễn phí các tệp tin của họ. Tuy nhiên, các nhà phát triển của Black Basta đã khắc phục vấn đề này trong quy trình mã hóa vào cuối tháng 12/2023 nhằm ngăn chặn kỹ thuật giải mã này.
Tuy nhiên, các nhà nghiên cứu lưu ý, việc tệp bị mã hóa có thể được khôi phục hoàn toàn hay một phần tùy thuộc vào kích thước của tệp. Đối với những tệp có kích thước dưới 5.000 byte thì việc khôi phục là không thể, trong khi các tệp từ 5.000 byte đến 1 GB thì hoàn toàn có thể phục hồi. Đối với các tệp lớn hơn 1 GB, 5.000 byte đầu tiên sẽ bị mất nhưng phần còn lại có thể được khôi phục.
Khi Black Basta mã hóa một tệp, nó sẽ XOR nội dung bằng 64 byte keystream được tạo bằng thuật toán XChaCha20. Tuy nhiên, khi sử dụng Stream Cipher để mã hóa một tệp có byte chỉ chứa số 0, chính khóa XOR sẽ được ghi vào tệp, cho phép truy xuất khóa mã hóa.
Theo ông Michael Gillespie, nhà sáng lập ID Ransomware (trang web miễn phí giúp nạn nhân có thể xác định bị nhiễm mã độc tống tiền nào) của nhóm bảo mật MalwareHunterTeam chia sẻ rằng, mã độc tống tiền Black Basta tồn tại một lỗi là bắt buộc phải sử dụng lại cùng một keystream trong quá trình mã hóa, do đó khiến tất cả các khối dữ liệu 64 byte chỉ chứa số 0 được chuyển đổi thành khóa đối xứng 64 byte. Khóa này sau đó có thể được trích xuất và sử dụng để giải mã toàn bộ tệp. Điều này được minh họa bằng Hình 1, trong đó hai đoạn "số 0" 64 byte được XOR và chứa keystream để mã hóa tệp.
Hình 1: Tệp mã hóa Black Basta hiển thị khóa mã hóa
SRLabs cho biết: “Ảnh đĩa ảo có khả năng được phục hồi cao vì các phân vùng thực tế và hệ thống tệp của chúng khởi động chậm hơn. Vì vậy, mã độc đã làm hư hỏng bảng phân vùng MBR hoặc GPT, nhưng các công cụ như testdisk thường có thể khôi phục hoặc tạo lại những bảng đó.”
Đối với các tệp không chứa khối dữ liệu lớn có dung lượng 0 byte, SRLabs cho biết vẫn có thể khôi phục tệp nếu người dùng có phiên bản cũ hơn không được mã hóa với dữ liệu tương tự.
Trong bộ giải mã Black Basta Buster, các nhà nghiên cứu đã tạo một tập lệnh có tên decryptauto[.]py để cố gắng thực hiện truy xuất khóa tự động và sau đó sử dụng nó để giải mã tệp. Các tệp đã được mã hóa trên máy ảo bằng bộ mã hóa Black Basta kể từ tháng 4/2023 để kiểm tra bộ giải mã.
Khi sử dụng tập lệnh decryptauto[.]py, nó sẽ tự động truy xuất dòng khóa và giải mã tệp, như được thể hiện trong Hình 2.
Hình 2. Black Basta Buster giải mã một tệp tin
Tuy nhiên, như đã đề cập, bộ giải mã này chỉ hoạt động trên các phiên bản Black Basta kể từ tháng 11/2022 trở đi. Hơn nữa, không thể giải mã được các phiên bản trước đó với phần mở rộng .basta vào các tệp được mã hóa thay vì phần mở rộng tệp ngẫu nhiên bằng công cụ này.
Bộ giải mã chỉ hoạt động trên một tệp tại một thời điểm, vì vậy nếu muốn giải mã toàn bộ thư mục thì cần sử dụng tập lệnh shell hoặc lệnh "find", như sau: find . -name "*.4xw1woqp0" -exec ../black-basta-buster/decryptauto[.]py "{}" \;. Chỉ cần đảm bảo thay thế phần mở rộng và đường dẫn tệp nếu cần.
Mặc dù các nạn nhân mới của Black Basta sẽ không thể khôi phục các tệp tin của họ miễn phí, nhưng những nạn nhân trước đó có thể may mắn hơn nếu họ đang tìm kiếm bộ giải mã.
Nhóm tin tặc tống tiền Black Basta bắt đầu hoạt động vào tháng 4/2022 và trở thành băng nhóm tội phạm mạng mới nhất thực hiện các cuộc tấn công tống tiền kép vào nạn nhân.
Tháng 6/2022, Black Basta đã kết hợp với phần mềm độc hại QBot (QakBot) để nhúng Cobalt Strike nhằm truy cập từ xa vào mạng các mục tiêu. Nhóm tin tặc này sau đó đã sử dụng các đèn hiệu (beacon) để lây nhiễm sang các thiết bị khác trên hệ thống mạng để thực hiện đánh cắp dữ liệu và cuối cùng là triển khai bộ mã hóa.
Giống như các hoạt động tấn công mã độc tống tiền nhắm mục tiêu vào doanh nghiệp khác, Black Basta đã tạo một bộ mã hóa Linux để nhắm mục tiêu vào các máy ảo VMware ESXi chạy trên máy chủ Linux.
Các nhà nghiên cứu cho rằng Black Basta có mối liên hệ với nhóm tin tặc FIN7 hay Carbanak - một nhóm tội phạm mạng có động cơ về tài chính. Kể từ khi bắt đầu hoạt động cho đến nay, các nhóm tin tặc đã gây ra một loạt các cuộc tấn công, bao gồm cả các cuộc tấn công vào Hiệp hội Nha khoa Mỹ, Công ty bán lẻ thực phẩm Sobeys (Canada), Tập đoàn vật liệu xây dựng Knauf (Đức),... Gần đây nhất, các tin tặc đã sử dụng mã độc tống tiền để tấn công vào Thư viện Công cộng Toronto - hệ thống thư viện công cộng lớn nhất Canada, khiến hệ thống mạng của cơ quan này bị tê liệt và một số dịch vụ bị dừng hoạt động.
Bá Phúc
(Theo Bleepingcomputer)
10:00 | 11/10/2023
14:00 | 28/05/2024
14:00 | 11/04/2024
18:00 | 22/09/2023
13:00 | 25/10/2024
14:00 | 18/07/2023
16:00 | 03/06/2024
16:00 | 15/11/2024
Ngày 15/11, tại Hà Nội, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị tập huấn về mật mã dân sự năm 2024 và triển khai Nghị định số 32/2023/NĐ-CP ngày 09/6/2023 của Chính phủ.
07:00 | 04/11/2024
Để triển khai một hệ thống theo mô hình Zero Trust hiệu quả, các tổ chức cần phải tuân thủ nghiêm ngặt các bước, đồng thời kết hợp các công nghệ bảo mật tiên tiến và áp dụng một số quy trình bảo mật nghiêm ngặt. Dưới đây là cách xây dựng hệ thống công nghệ dựa trên mô hình Zero Trust cho các tổ chức.
15:00 | 15/07/2024
Bài viết này giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 23264- 1:2021. Chi tiết về các thuộc tính của cơ chế mật mã để biên tập lại dữ liệu xác thực. Đặc biệt, nó xác định các quá trình liên quan đến các cơ chế đó, các bên tham gia và các thuộc tính mật mã.
10:00 | 17/05/2024
Tháng 7/2022, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã công bố 4 thuật toán mật mã hậu lượng tử sẽ được chuẩn hóa. Ba trong số 4 thuật toán này (CRYSTALS-Kyber, CRYSTAL Dilithium và Falcon) dựa trên lưới [1]. Năm 2023, hai nhà nghiên cứu mật mã Keegan Ryan và Nadia Heninger ở Đại học Canifornia San Diego đã cải tiến một kỹ thuật nổi tiếng để rút gọn cơ sở lưới, mở ra những con đường mới cho các thí nghiệm thực tế về mật mã và toán học [2]. Bài báo sẽ giới thiệu tới độc giả thuật toán mật mã LLL gốc và những cải tiến nâng cấp của nó trong công bố mới đây.