L’efficacia di questo strumento era basata sulla scoperta di una falla nell’algoritmo di crittografia del ransomware. Sfruttando questa debolezza, i ricercatori sono riusciti a creare un tool in grado di sbloccare i file criptati durante gli attacchi. Purtroppo però, secondo quanto riferito da BleepingComputer, gli sviluppatori di Black Basta hanno corretto la vulnerabilità, rendendo il decryptor inutilizzabile per gli attacchi più recenti. Il decryptor, inoltre, non è compatibile con le varianti più vecchie del ransomware che utilizzavano l’estensione “.basta” anziché un’estensione casuale.
Secondo il rapporto dettagliato, il ransomware Black Basta impiega una crittografia basata su un flusso di chiavi ChaCha, eseguendo operazioni XOR su blocchi di 64 byte del file. La dimensione del file influisce sulla possibilità di recupero, con i file inferiori a 5.000 byte che non possono essere recuperati e quelli compresi tra 5.000 byte e 1 GB che sono recuperabili completamente.
Per i file superiori a 1 GB, i primi 5000 byte vanno persi, ma il resto può essere recuperato. I ricercatori hanno dichiarato che la completa o parziale recuperabilità di un file dipende dalle dimensioni del file, come detto, ma ancge dalla frequenza con cui il ransomware ha crittografato il file, richiedendo talvolta una revisione manuale per il recupero completo
In termini di difesa contro il ransomware, l’uso di un decryptor è sicuramente utile, ma è altrettanto importante adottare misure preventive. Salvatore Lombardo, esperto ICT e socio dell’Associazione italiana per la sicurezza informatica (Clusit), suggerisce diverse precauzioni. Tra queste, effettuare backup regolari dei dati critici, crittografare i dati sensibili, mantenere aggiornati i sistemi operativi e le soluzioni di sicurezza, utilizzare filtri antispam, formare il personale su e-mail di phishing e implementare soluzioni antivirus aggiornate.
Monitorare il traffico di rete per rilevare comportamenti sospetti, limitare gli accessi privilegiati, sensibilizzare il personale sulla sicurezza informatica e creare un piano di risposta agli incidenti dettagliato sono ulteriori passi cruciali. Infine, effettuare test periodici e simulazioni di attacchi contribuisce a valutare l’efficacia delle misure di difesa e apportare miglioramenti necessari.