Black-Basta-Ransomware: Forscher finden Schwachstelle und teilen Decryptor

Wer in den letzten Monaten der Ransomware Black Basta zum Opfer gefallen ist, darf neuerdings auf eine kostenlose Entschlüsselung seiner Daten hoffen. Sicherheitsforscher von Security Research Labs (SRLabs) haben in dem im April 2023 verwendeten Ransomware-Stamm eine Schwachstelle entdeckt, durch die es ihnen möglich war, ein Black Basta Buster genanntes Entschlüsselungstool zu entwickeln.

Damit die Entschlüsselung gelingt, müssen allerdings ein paar Bedingungen erfüllt sein. Wie aus der Beschreibung des auf Github veröffentlichten Tools hervorgeht, muss dafür der Klartext von 64 verschlüsselten Bytes an bestimmten Stellen der wiederherzustellenden Datei bekannt sein. Bei einigen Dateitypen wie Disk-Images von virtuellen Maschinen sei die Bestimmung der erforderlichen Bytes aber oftmals möglich.

Dateien mit weniger als 5.000 Bytes seien grundsätzlich nicht wiederherstellbar. Dateien mit einer Größe zwischen 5.000 Bytes und einem GByte ließen sich hingegen vollständig entschlüsseln. Bei Dateien mit mehr als einem GByte gingen die ersten 5.000 Bytes verloren, der Rest lasse sich aber wiederherstellen.

"Virtualisierte Festplattenabbilder haben jedoch eine hohe Chance, wiederhergestellt zu werden, da die eigentlichen Partitionen und ihre Dateisysteme in der Regel später beginnen", erklären die Forscher. Damit bleibe die zugehörige MBR- oder GPT-Partitionstabelle zwar beschädigt, jedoch lasse sich diese üblicherweise mit anderen Tools wiederherstellen.

Auf neuere Ransomware-Angriffe nicht anwendbar

Black Basta Buster besteht aus mehreren Python-Skripten, die verschiedene Aufgaben übernehmen und dem Nutzer dabei helfen, entschlüsselbare Daten zu identifizieren und diese wiederherzustellen. Dabei heben die Forscher das Skript decryptauto.py hervor, das versucht, den erforderlichen Schlüssel automatisch aufzuspüren und zu verwenden. Nähere Informationen sowie Anwendungsbeispiele sind in der Beschreibung des Github-Repositorys zu finden.

Laut Bleeping Computer lassen sich mit Black Basta Buster nur Dateien wiederherstellen, die mit einer zwischen November 2022 und Ende 2023 verwendeten Version der Black-Basta-Ransomware verschlüsselt wurden. Vor etwa einer Woche habe die Ransomwaregruppe die dafür ausgenutzte Schwachstelle behoben, so dass das Entschlüsselungstool bei neueren Angriffen wirkungslos bleibt. Ferner könne das Tool immer nur eine einzelne Datei entschlüsseln. Wer zeitsparend ganze Ordner wiederherstellen wolle, könne dafür aber beispielsweise ein eigenes Shell-Skript verwenden.

Aktiv ist Black Basta wohl etwa seit April 2022. Zu den Zielen der Ransomwaregruppe zählten in der Vergangenheit unter anderem ein IT-Dienstleister der Deutschen Presse-Agentur sowie die Autovermietung Sixt.