image

Kwetsbaarheid in Black Basta-ransomware maakt decryptie bestanden mogelijk

zondag 31 december 2023, 07:58 door Redactie, 1 reacties

Een kwetsbaarheid in het encryptie-algoritme van de Black Basta-ransomware maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf Security Research Labs ontdekt, die tevens een decryptietool ontwikkelden. Tijdens de 37ste editie van het Chaos Communication Congress in Hamburg demonstreerden de onderzoekers hun onderzoek naar de ransomware, die tot één van de meestgebruikte in Duitsland zou behoren.

Volgens de onderzoekers maakt de ransomware bij het versleutelen van bestanden op een verkeerde manier gebruik van de keystream, waardoor de encryptie kwetsbaar is voor een bekende plaintext-aanval waardoor bestanden zijn te ontsleutelen. "We ontdekten dat de ransomware dezelfde cryptografische keystream voor het versleutelen van verschillende onderdelen van hetzelfde bestand hergebruikt, en daarmee de veiligheid van de gebruikte steam cipher breekt", aldus de onderzoekers. Wanneer de plaintext versie van 64 versleutelde bytes bekend is, kan het hele bestand worden hersteld. Volgens de onderzoekers is de kwetsbaarheid ontstaan toen de ransomwaregroep overstapte van RSA-encryptie naar elliptic curve cryptografie.

Er zijn wel enkele beperkingen. Bestanden van 5000 bytes groot zijn niet te herstellen. Volledig herstel is mogelijk bij bestanden tussen de 5000 bytes en 1 gigabytes. Bij bestanden van meer dan 1 gigabyte zullen de eerste 5000 bytes niet zijn te herstellen, maar de rest wel. De onderzoekers hebben hun onderzoek en tool al met internationale opsporingsdiensten gedeeld. Door nu hun bevindingen openbaar te maken hopen de onderzoekers dat slachtoffers naar buiten zullen treden voor hulp. Wel verwachten ze dat de aanvallers de kwetsbaarheid zullen verhelpen in de ransomware.

Reacties (1)
31-12-2023, 15:51 door Anoniem
Zullen we nu roepen "backdoor" , 3-letter-agency conspiracy en dat soort dingen die "we" altijd roepen als een dergelijke bug gemaakt wordt door een normaal bedrijf ?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.