Araştırmacılar, Black Basta fidye yazılımındaki bir kusurdan yararlanarak kurbanların dosyalarını ücretsiz olarak kurtarmasına olanak tanıyan bir şifre çözücü geliştirdi.
Şifre çözücü, Kasım 2022’den bu aya kadar Black Basta kurbanlarının dosyalarını potansiyel olarak ücretsiz kurtarmasına olanak tanıyor. Ancak BleepingComputer, Black Basta geliştiricilerinin şifreleme rutinlerindeki hatayı yaklaşık bir hafta önce düzelttiğini ve bu şifre çözme tekniğinin yeni saldırılarda kullanılmasını engellediğini öğrendi.
Black Basta kusuru
‘Black Basta Buster’ şifre çözücüsü, fidye yazılımı çetesinin şifreleyicileri tarafından kullanılan şifreleme algoritmasında, bir dosyayı XOR şifrelemek için kullanılan ChaCha anahtar akışının keşfedilmesine izin veren bir zayıflık bulan Güvenlik Araştırma Laboratuvarlarından (SRLabs) geliyor.
SRLabs’ın GitHub deposundaki yönteme ilişkin yazı, “Analizimiz, 64 şifrelenmiş baytlık düz metin biliniyorsa dosyaların kurtarılabileceğini gösteriyor. Bir dosyanın tamamen veya kısmen kurtarılabilir olması, dosyanın boyutuna bağlıdır” diye açıklıyor.
“5000 byte’ın altındaki dosyalar kurtarılamaz. Boyutu 5000 byte ile 1GB arasındaki dosyalar için tam kurtarma mümkündür. 1GB’tan büyük dosyaların ilk 5000 byte’ı kaybolur ancak geri kalanı kurtarılabilir.”
Black Basta bir dosyayı şifrelediğinde, XChaCha20 algoritması kullanılarak oluşturulan 64 baytlık bir anahtar akışını kullanarak içeriği XOR’lar. Bununla birlikte, baytları yalnızca sıfır içeren bir dosyayı şifrelemek için bir akış şifresi kullanıldığında, XOR anahtarının kendisi dosyaya yazılır ve şifreleme anahtarının alınmasına olanak tanır.
Fidye yazılımı uzmanı Michael Gillespie BleepingComputer’a Black Basta’nın şifreleme sırasında aynı anahtar akışını yeniden kullandıkları ve bu nedenle yalnızca sıfırlar içeren 64 baytlık veri yığınlarının tamamının 64 baytlık simetrik anahtara dönüştürülmesine neden olan bir hata yaşadığını söyledi. Bu anahtar daha sonra çıkarılabilir ve tüm dosyanın şifresini çözmek için kullanılabilir.
Bu, iki adet 64 baytlık ‘sıfır’ parçasının XORlandığı ve artık dosyayı şifrelemek için kullanılan anahtar akışını içerdiği aşağıdaki resimde gösterilmektedir.
Küçük dosyaların şifresini çözmek mümkün olmasa da, sanal makine diskleri gibi daha büyük dosyaların şifresi, çok sayıda ‘sıfır bayt’ bölüm içerdiklerinden genellikle çözülebilir.
SRLabs, “Ancak sanallaştırılmış disk görüntülerinin kurtarılma şansı yüksektir, çünkü gerçek bölümler ve bunların dosya sistemleri daha geç başlama eğilimindedir” diye açıklıyor.
“Dolayısıyla fidye yazılımı MBR veya GPT bölüm tablosunu yok etti, ancak “testdisk” gibi araçlar sıklıkla bunları kurtarabilir veya yeniden oluşturabilir.”
Büyük sıfır baytlık veri yığınları içermeyen dosyalar için SRLabs, benzer verilere sahip daha eski, şifrelenmemiş bir sürümünüz varsa dosyaları kurtarmanın hala mümkün olabileceğini söylüyor.
BleepingComputer’a, bazı DFIR şirketlerinin bu kusurun farkında olduğu ve bunu aylardır kullanarak müşterilerinin bilgisayarlarının şifresini fidye ödemeden çözdükleri söylendi.
Black Basta Buster şifre çözücü
SRLabs’taki araştırmacılar, farklı senaryolar altında dosyaların şifresini çözmenize yardımcı olan bir dizi python komut dosyasından oluşan Black Basta Buster adlı bir şifre çözücü yayınladı.
Ancak araştırmacılar, anahtarın otomatik olarak alınmasını gerçekleştirmeye çalışan ve daha sonra bunu dosyanın şifresini çözmek için kullanan ‘decryptauto.py’ adlı bir komut dosyası oluşturdular.
BleepingComputer, şifre çözücüyü test etmek için Nisan 2023’ten itibaren sanal makinedeki dosyaları Black Basta şifreleyiciyle şifreledi.
Decryptauto.py scriptini kullandığımızda aşağıda görüldüğü gibi otomatik olarak keystream’i alıp dosyamızın şifresini çözdü.
Ancak daha önce de belirttiğimiz gibi bu şifre çözücü, Kasım 2022’den bu yana ve bir hafta öncesine kadar yalnızca Black Basta sürümlerinde çalışıyor. Ayrıca, şifrelenmiş dosyalara rastgele bir dosya uzantısı yerine .basta uzantısını ekleyen önceki sürümlerin şifresi bu araç kullanılarak çözülemez.
Şifre çözücü aynı anda yalnızca bir dosya üzerinde çalışır, bu nedenle tüm klasörlerin şifresini çözmek istiyorsanız, aşağıda gösterildiği gibi bir kabuk komut dosyası veya ‘bul’ komutunu kullanmanız gerekir. Uzantıyı ve dosya yollarını gerektiği gibi değiştirdiğinizden emin olun.
find . -name "*.4xw1woqp0" -exec ../black-basta-buster/decryptauto.py "{}" \;
Yeni Black Basta kurbanları artık dosyalarını ücretsiz olarak kurtaramayacak olsa da, daha yaşlı kurbanlar bir şifre çözücüye ihtiyaç duyarlarsa daha şanslı olabilirler.
Kara Basta kimdir?
Black Basta fidye yazılımı çetesi Nisan 2022’de faaliyete geçti ve kurumsal kurbanlara çifte gasp saldırıları düzenleyen en yeni siber suç çetesi oldu.
Haziran 2022 itibarıyla Black Basta, kurumsal ağlara uzaktan erişim için Cobalt Strike’ı kaldırmak üzere QBot kötü amaçlı yazılım operasyonu (QakBot) ile ortaklık kurdu. Black Basta daha sonra bu işaretçileri ağdaki diğer cihazlara yanal olarak yayılmak, verileri çalmak ve sonuçta şifreleyicileri dağıtmak için kullanacaktı.
Diğer kurumsal hedeflemeli fidye yazılımı operasyonları gibi Black Basta da Linux sunucularında çalışan VMware ESXi sanal makinelerini hedeflemek için bir Linux şifreleyici oluşturdu.
Araştırmacılar ayrıca fidye yazılımı çetesini, Carbanak olarak da bilinen, mali amaçlı bir siber suç çetesi olan FIN7 hack grubuyla da ilişkilendirdi.
Tehdit aktörleri, lansmanından bu yana Capita, American Dental Association, Sobeys, Knauf ve Yellow Pages Canada’dakiler de dahil olmak üzere bir dizi saldırının sorumlusu oldu.
Son zamanlarda fidye yazılımı operasyonu Kanada’nın en büyük halk kütüphanesi sistemi olan Toronto Halk Kütüphanesine saldırdı.