TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
SRLab ปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ Black Basta หลังจากพบจุดอ่อนในการเข้ารหัสไฟล์
Security Research Labs (SRLabs) ได้ทำการปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ Black Basta โดยใช้ชื่อว่า ‘Black Basta Buster‘ ภายหลังจากค้นพบจุดอ่อนในการเข้ารหัสไฟล์ที่แรนซัมแวร์ตัวนี้ใช้ โดยผู้ที่โดน Black Basta โจมตีตั้งแต่เดือนพฤศจิกายน 2022 สามารถนำเครื่องมือไปใช้ในการถอดรหัสไฟล์ได้ทันที จุดอ่อนดังกล่าวเกิดขึ้นในขั้นตอนการทำ XOR เพื่อเข้ารหัสไฟล์ ทำให้สามารถคาดเดา ChaCha keystream ได้ เครื่องมือตัวนี้สามารถถอดรหัสได้เฉพาะไฟล์ที่มีขนาดระหว่าง 5000 ไบต์จนถึง 1GB เท่านั้น ไฟล์ที่มีขนาดน้อยกว่า 5000 ไบต์จะไม่สามารถถอดรหัสได้ ส่วนไฟล์ที่ขนาดมากกว่า 1GB จะไม่สามารถถอดรหัสส่วน 5000 ไบต์แรกได้ อย่างไรก็ตาม การถอดรหัสนี้ก็เพียงพอสำหรับการกู้คือ Virtual Machine Disk หรือ File System ได้แล้ว
แรนซัมแวร์ Black Basta เริ่มทำการโจมตีมาตั้งแต่เดือนเมษายน 2022 โดยมีการเข้ารหัสไฟล์และทำ Double-extortion กับเหยื่อ มีการร่วมมือกับกลุ่มมัลแวร์ QBot ในการเข้าโจมตีเครือข่ายองค์กรต่างๆเพื่อแทรกซึมเข้าสู่เครือข่ายและทำการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ นอกจากนี้ยังมีการสร้าง Linux encryptor เพื่อมุ่งเป้าโจมตีเพื่อเข้ารหัส Virtual Machine ของ VMware ESXi อีกด้วย คาดว่าแรนซัมแวร์ตัวนี้อยู่ภายใต้การดูแลของกลุ่มอาชญากรทางไซเบอร์ FIN7
