Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Ransomware Bash 2.0

Ransomware Bash 2.0

El Mezo el Ransomware
Traduir a:

El ransomware continua sent una de les amenaces més disruptives a què s'enfronten individus i organitzacions. Una sola intrusió reeixida pot codificar els vostres fitxers, aturar les operacions comercials i posar les dades sensibles a mercè dels extorsionadors. La protecció proactiva, els controls de seguretat per capes, la vigilància dels usuaris i les còpies de seguretat fiables sempre costaran menys que pagar a delinqüents (i encara no recuperar les vostres dades). El ransomware Bash 2.0, també conegut com a Bash Red, és un recordatori oportú que les famílies emergents continuen iterant sobre codi d'atac provat mentre refinen les seves tàctiques de pressió contra les víctimes.

CONEIX BASH 2.0 (BASH RED)

Els investigadors van identificar Bash 2.0 mentre estudiaven la nova activitat de programari maliciós. L'amenaça es basa en la base de codi del ransomware Chaos, un marc de treball que s'ha reutilitzat en múltiples spin-offs. L'aprofitament de Chaos dóna als atacants un avantatge: el xifratge central, la gestió de fitxers i les rutines de notes de rescat ja són presents i es poden personalitzar per a noves campanyes. Bash 2.0 utilitza aquestes capacitats heretades per bloquejar dades i extorsionar pagaments.

QUÈ PASSA AMB ELS VOSTRES FITXERS

Un cop Bash 2.0 s'executa en un sistema, intenta xifrar les dades accessibles. Cada fitxer afectat rep una extensió addicional composta per quatre caràcters aleatoris, convertint alguna cosa com ara '1.png' en '1.png.2rf9' (el sufix aleatori varia segons la infecció). Aquesta convenció de canvi de nom ajuda els atacants (i les eines automatitzades) a rastrejar què s'ha bloquejat alhora que indiquen instantàniament a les víctimes que les seves dades ja no es poden utilitzar. El ransomware també altera el fons de pantalla de l'escriptori per reforçar visualment el missatge d'extorsió.

EL MISSATGE DEL RESCAT: BASHRED-README.TXT

Després de completar el xifratge, Bash 2.0 deixa anar una nota de text anomenada "bashred-reAdmE.txt". El missatge informa a la víctima que els fitxers estan xifrats i afirma que l'única ruta de recuperació viable és obtenir una clau de desxifratge i un programari únics dels atacants. Es demana a les víctimes que estableixin contacte i paguin; la nota adverteix que canviar el nom, modificar o intentar desxifrar les dades bloquejades de forma independent podria corrompre-les permanentment. El canvi de fons de pantalla sol reflectir els mateixos temes, cosa que augmenta la urgència.

Fins a quin punt és real la recuperació de dades?

En la majoria d'incidents de ransomware, el desxifratge sense la cooperació dels atacants és tècnicament inviable perquè el xifratge està dissenyat per ser criptogràficament fort. Només en casos excepcionals, generalment quan els autors de programari maliciós cometen errors greus d'implementació, és possible el desxifratge sense la seva participació. Fins i tot el pagament no és una garantia: les víctimes informen regularment que mai reben eines funcionals, que reben desxifratgers parcials o que troben claus corruptes. El pagament també finança més operacions criminals, cosa que pot convertir-vos en un objectiu repetit. Per aquestes raons, els professionals de la seguretat desaconsellen fermament complir les demandes de rescat.

ATURAR L’HEMORRÀGIA: EXTRACCIÓ I CONTENCIÓ

Eliminar el Bash 2.0 d'un entorn infectat és essencial per evitar que es xifrin fitxers addicionals i per evitar que l'amenaça s'estengui als sistemes connectats. Tanmateix, netejar el programari maliciós no desencripta les dades ja bloquejades. Una restauració real depèn de tenir còpies de seguretat segures, fora de línia i sense compromisos. Abans de la recuperació, aïlleu les màquines afectades de la xarxa, realitzeu una anàlisi completa de programari maliciós amb eines actualitzades i reconstruïu o torneu a crear la imatge on no es pugui garantir la confiança. Només torneu a connectar els sistemes restaurats després de verificar que estiguin nets.

COM S’ESTENDEIX BASH 2.0 A LA NATURA

Els atacants llancen una xarxa àmplia. Els vectors de distribució comuns vinculats a campanyes de ransomware i rellevants per a Bash 2.0 inclouen:

  • Adjunts o enllaços maliciosos enviats a través de correu brossa, spear-phishing o plataformes de missatgeria social.
  • Instal·ladors integrats o troians que es fan passar per programari, jocs, còdecs multimèdia o eines de productivitat legítims.
  • Descàrregues impulsades per llocs web compromesos o maliciosos, sovint als quals s'arriba mitjançant publicitat maliciosa.
  • Canals de descàrrega de tercers, programari gratuït i peer-to-peer amb controls d'integritat febles.
  • "Cracks" de programari il·legal, keygens i utilitats d'activació falsificades que lliuren càrregues útils silenciosament.
  • Sol·licituds d'actualització falses (navegador, connector, sistema operatiu o aplicació) que instal·len programari maliciós en lloc de pegats.

Algunes configuracions d'amenaces són capaces de moviment lateral o autopropagació, intentant travessar xarxes locals o copiar-se a suports extraïbles com ara unitats flash USB i discs externs.

MILLORS PRÀCTIQUES DE SEGURETAT PER REFORÇAR LES TEVES DEFENSES

  • Mantingueu còpies de seguretat versionades, fora de línia i provades regularment. Emmagatzemeu com a mínim un conjunt de còpies de seguretat fora de la xarxa (es prefereix emmagatzematge immutable o suports d'escriptura única).
  • Mantingueu els sistemes operatius, les aplicacions, els paquets de seguretat i el firmware completament actualitzats. Habiliteu les actualitzacions automàtiques sempre que sigui pràctic.
  • Implementeu solucions antimalware/EDR de bona reputació amb detecció de ransomware comportamental i funcions de reversió.
  • Utilitzeu el filtratge de correu electrònic, la sandboxing d'adjunts i les passarelles d'escaneig d'enllaços per reduir el risc de phishing; formeu els usuaris per detectar remitents falsos i fitxers adjunts inesperats.
  • Desactiva o restringeix les macros i el contingut actiu en formats de document; obre els documents no sol·licitats en la vista protegida.
  • Operar amb comptes d'usuari amb privilegis mínims; reservar credencials administratives per a sessions dedicades i segures.
  • Segmenteu les xarxes i apliqueu controls d'accés de manera que un únic punt final compromès no pugui arribar a tots els recursos compartits crítics.
  • Requereix autenticació multifactor per a l'accés remot, les accions privilegiades i les consoles d'administració de còpies de seguretat.
  • Desactiveu l'execució/reproducció automàtica en suports extraïbles; escanegeu les unitats externes abans de muntar-les en sistemes de producció.

REFLEXIONS FINALS

El ransomware Bash 2.0 il·lustra la rapidesa amb què els actors d'amenaces poden reutilitzar les bases de codi existents en noves eines d'extorsió. Els defensors que es basen únicament en la detecció basada en signatures o en la reacció d'última hora continuaran en desavantatge. En combinar estratègies de còpia de seguretat disciplinades, una higiene de pegats sòlida, defenses de correu electrònic i endpoints per capes, disseny de privilegis mínims i manuals de resposta practicats, es redueix dràsticament tant la probabilitat com l'impacte d'un esdeveniment de ransomware.

Missatges

S'han trobat els missatges següents associats a Ransomware Bash 2.0:

!!!ATTENTION!!!

Your Files Have Been Encrypted By Bash Ransomware (v2.0)!

Your Downloads, Documents, Desktop, Videos, etc.

We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing
To Cooperate With Us. We Can Work Towards A Reasonable Outcome.

COMMONLY ASKED QUESTIONS.
--------------------------

What Happened To My Files?
---------------------------

Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used
To Encrypt The AES Encryption And Decryption Keys.

The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically
For This Ransomware. As Well As Its Corresponding Decryption Software.

In Order To Obtain Them, You Must Pay A Reasonable Fee.

How Do I Pay?
--------------

In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/

After Installing The Browser.

Please Visit One Of Our Darknet Sites Listed Below:

-

Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below.

You Will Then Be Taken Through The Payment Process.

Your Personal ID: -

Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At:
bashID72@protonmail.com
-------------------------------
WARNING!
DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable!
-------------------

We Look Foward To Finding A Common Ground.

Thank You

Version:(BashRed-2.0-213)

Tendència

Més vist

Carregant...