Een kwetsbaarheid in het encryptie-algoritme van de Black Basta-ransomware maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf Security Research Labs ontdekt, die tevens een decryptietool ontwikkelden. Tijdens de 37ste editie van het Chaos Communication Congress in Hamburg demonstreerden de onderzoekers hun onderzoek naar de ransomware, die tot één van de meestgebruikte in Duitsland zou behoren.

Volgens de onderzoekers maakt de ransomware bij het versleutelen van bestanden op een verkeerde manier gebruik van de keystream, waardoor de encryptie kwetsbaar is voor een bekende plaintext-aanval waardoor bestanden zijn te ontsleutelen. "We ontdekten dat de ransomware dezelfde cryptografische keystream voor het versleutelen van verschillende onderdelen van hetzelfde bestand hergebruikt, en daarmee de veiligheid van de gebruikte steam cipher breekt", aldus de onderzoekers. Wanneer de plaintext versie van 64 versleutelde bytes bekend is, kan het hele bestand worden hersteld. Volgens de onderzoekers is de kwetsbaarheid ontstaan toen de ransomwaregroep overstapte van RSA-encryptie naar elliptic curve cryptografie.

Er zijn wel enkele beperkingen. Bestanden van 5000 bytes groot zijn niet te herstellen. Volledig herstel is mogelijk bij bestanden tussen de 5000 bytes en 1 gigabytes. Bij bestanden van meer dan 1 gigabyte zullen de eerste 5000 bytes niet zijn te herstellen, maar de rest wel. De onderzoekers hebben hun onderzoek en tool al met internationale opsporingsdiensten gedeeld. Door nu hun bevindingen openbaar te maken hopen de onderzoekers dat slachtoffers naar buiten zullen treden voor hulp. Wel verwachten ze dat de aanvallers de kwetsbaarheid zullen verhelpen in de ransomware.