Bash 2.0 рансъмуер

Рансъмуерът остава една от най-разрушителните заплахи, пред които са изправени отделни лица и организации. Едно успешно проникване може да разбърка вашите файлове, да спре бизнес операциите и да постави чувствителни данни на милостта на изнудвачите. Проактивната защита, многопластовите контроли за сигурност, бдителността на потребителите и надеждните резервни копия винаги ще струват по-малко от това да плащате на престъпници (и все още да не си върнете данните). Bash 2.0 рансъмуерът, проследяван още като Bash Red, е навременно напомняне, че нововъзникващите семейства продължават да използват доказан код за атака, като същевременно усъвършенстват тактиките си за натиск срещу жертвите.

ЗАПОЗНАЙТЕ СЕ С BASH 2.0 (BASH RED)

Изследователите идентифицираха Bash 2.0, докато проучваха нова активност на зловреден софтуер. Заплахата е изградена върху кодовата база на рансъмуер вируса Chaos, рамка, която е била използвана повторно в множество спин-офи. Използването на Chaos дава на атакуващите предимство: криптирането на ядрото, обработката на файлове и рутините за известия за откуп вече са налични и могат да бъдат персонализирани за нови кампании. Bash 2.0 използва тези наследени възможности за заключване на данни и изнудване на плащане.

КАКВО СЕ СЛУЧВА С ВАШИТЕ ФАЙЛОВЕ

След като Bash 2.0 се изпълни на система, той се опитва да криптира достъпните данни. Всеки засегнат файл получава допълнително разширение, съставено от четири произволни символа, превръщайки нещо като „1.png“ в „1.png.2rf9“ (случайният суфикс варира в зависимост от инфекцията). Тази конвенция за преименуване помага на нападателите (и автоматизираните инструменти) да проследят какво е било заключено, като същевременно незабавно сигнализират на жертвите, че данните им вече не могат да се използват. Рансъмуерът също така променя тапета на работния плот, за да подсили визуално съобщението за изнудване.

ПОСЛАНИЕТО ЗА ОТКУП: BASHRED-README.TXT

След завършване на криптирането, Bash 2.0 изпраща текстово съобщение с име „bashred-reAdmE.txt“. Съобщението информира жертвата, че файловете са криптирани и твърди, че единственият възможен път за възстановяване е получаването на уникален ключ за декриптиране и софтуер от нападателите. Жертвите са инструктирани да установят контакт и да платят; съобщението предупреждава, че преименуването, модифицирането или опитът за декриптиране на заключените данни независимо може да ги повреди за постоянно. Смяната на тапета обикновено повтаря същите теми, което увеличава неотложността.

КОЛКО РЕАЛНО Е ВЪЗСТАНОВЯВАНЕТО НА ДАННИ?

В повечето инциденти с ransomware, декриптирането без сътрудничеството на нападателите е технически невъзможно, защото криптирането е проектирано да бъде криптографски силно. Само в редки случаи, обикновено когато авторите на зловреден софтуер допускат сериозни грешки при внедряването, е възможно декриптирането без тяхно участие. Дори плащането не е гаранция: жертвите редовно съобщават, че никога не са получили работещи инструменти, получават частични декриптори или се натъкват на повредени ключове. Плащането финансира и по-нататъшни престъпни операции, което потенциално ви прави повтаряща се мишена. Поради тези причини специалистите по сигурността силно не препоръчват изпълнението на исканията за откуп.

СПРЕТЕ КЪРВОТЕЧЕНИЕТО: ОТСТРАНЯВАНЕ И ЗАТРЯВАНЕ

Премахването на Bash 2.0 от заразена среда е от съществено значение, за да се спре криптирането на допълнителни файлове и да се предотврати разпространението на заплахата към свързани системи. Почистването на зловредния софтуер обаче не декриптира вече заключени данни. Истинското възстановяване зависи от наличието на безопасни, офлайн и некомпрометирани резервни копия. Преди възстановяване, изолирайте засегнатите машини от мрежата, извършете пълно сканиране за злонамерен софтуер с актуализирани инструменти и преинсталирайте или пресъздайте образа на системата, когато доверието не може да бъде гарантирано. Свържете отново възстановените системи само след като се уверите, че са чисти.

КАК BASH 2.0 СЕ РАЗПРОСТРАНЯВА В ДИВАТА ПРИРОДА

Атакуващите хвърлят широка мрежа. Често срещани вектори на разпространение, свързани с ransomware кампании и релевантни за Bash 2.0, включват:

• Злонамерени прикачени файлове или връзки, доставяни чрез спам, фишинг или платформи за социални съобщения.
• Пакетни или троянски инсталатори, представящи се за легитимен софтуер, игри, медийни кодеци или инструменти за продуктивност.
• Автоматични изтегляния, задействани от компрометирани или злонамерени сайтове, често достигани чрез злонамерена реклама.
• Канали за изтегляне от трети страни, безплатен софтуер и peer-to-peer канали със слаб контрол на целостта.
• Нелегални софтуерни „кракове“, кейгени и фалшиви помощни програми за активиране, които тихомълком доставят полезни товари.
• Фалшиви подкани за актуализация (браузър, плъгин, операционна система или приложение), които инсталират зловреден софтуер вместо корекции.

Някои компилации на заплахи са способни на странично движение или саморазпространение, опитвайки се да преминават през локални мрежи или да се копират на сменяеми носители, като USB флаш устройства и външни дискове.

НАЙ-ДОБРИ ПРАКТИКИ ЗА СИГУРНОСТ ЗА ЗАСИЛВАНЕ НА ВАШАТА ЗАЩИТА

• Поддържайте версирани, офлайн и редовно тествани резервни копия. Съхранявайте поне един набор от резервни копия извън мрежата (за предпочитане е непроменливо хранилище или носител за еднократно записване).
• Поддържайте операционните системи, приложенията, пакетите за сигурност и фърмуера напълно актуализирани. Активирайте автоматичните актуализации, където е възможно.
• Внедрете надеждни антивирусни/EDR решения с възможности за откриване на поведенчески рансъмуер и връщане към предишните ситуации.
• Използвайте филтриране на имейли, пясъчник за прикачени файлове и шлюзове за сканиране на връзки, за да намалите риска от фишинг; обучете потребителите да разпознават фалшиви податели и неочаквани прикачени файлове.

• Деактивирайте или ограничете макросите и активното съдържание във формати на документи; отваряйте непоискани документи в защитен изглед.

• Работете с потребителски акаунти с най-ниски привилегии; резервирайте администраторски идентификационни данни за специални, защитени сесии.

• Сегментирайте мрежите и наложете контрол на достъпа, така че една компрометирана крайна точка да не може да достигне до всички критични споделени ресурси.

• Изисквайте многофакторно удостоверяване за отдалечен достъп, привилегировани действия и резервни конзоли за администриране.

• Деактивирайте автоматичното стартиране/възпроизвеждане на сменяеми носители; сканирайте външни устройства преди монтиране към производствени системи.

ЗАКЛЮЧИТЕЛНИ МИСЛИ

Bash 2.0 Ransomware илюстрира колко бързо злонамерените лица могат да пренасочат съществуващите кодови бази в нови инструменти за изнудване. Защитниците, които разчитат единствено на откриване, базирано на сигнатури, или реакция в последния момент, ще останат в неизгодно положение. Чрез комбиниране на дисциплинирани стратегии за архивиране, силна хигиена на корекциите, многопластова защита на крайни точки и имейли, дизайн с най-малко привилегии и практикувани наръчници за реагиране, вие драстично намалявате както вероятността, така и въздействието на събитие, свързано с ransomware.