Bash 2.0 Ransomware

Ransomware er fortsat en af de mest forstyrrende trusler, som enkeltpersoner og organisationer står over for. Et enkelt vellykket indbrud kan rode rundt i dine filer, stoppe forretningsdriften og sætte følsomme data i afpresningsøjemed. Proaktiv beskyttelse, lagdelte sikkerhedskontroller, brugerovervågning og pålidelige sikkerhedskopier vil altid koste mindre end at betale kriminelle (og stadig ikke få dine data tilbage). Bash 2.0 Ransomware, også kendt som Bash Red, er en rettidig påmindelse om, at nye familier fortsætter med at iterere på dokumenteret angrebskode, mens de forfiner deres prestaktikker mod ofrene.

MØD BASH 2.0 (BASH RED)

Forskere identificerede Bash 2.0, mens de undersøgte ny malwareaktivitet. Truslen er bygget på Chaos ransomware-kodebasen, et framework, der er blevet genbrugt i flere spin-offs. Udnyttelsen af Chaos giver angriberne et forspring: kernekryptering, filhåndtering og rutiner for løsesumsnotater er allerede til stede og kan tilpasses til nye kampagner. Bash 2.0 bruger disse nedarvede funktioner til at låse data og afpresse betaling.

HVAD SKER DER MED DINE FILER

Når Bash 2.0 kører på et system, forsøger det at kryptere tilgængelige data. Hver berørt fil får en ekstra filtypenavn bestående af fire tilfældige tegn, der ændrer noget i retning af '1.png' til '1.png.2rf9' (det tilfældige suffiks varierer pr. infektion). Denne omdøbningskonvention hjælper angriberne (og automatiserede værktøjer) med at spore, hvad der er blevet låst, samtidig med at den øjeblikkeligt signalerer til ofrene, at deres data ikke længere kan bruges. Ransomware ændrer også skrivebordsbaggrunden for visuelt at forstærke afpresningsmeddelelsen.

LØSEBESKEDET: BASHRED-README.TXT

Efter krypteringen er fuldført, udgiver Bash 2.0 en tekstbesked med navnet 'bashred-reAdmE.txt'. Beskeden informerer offeret om, at filerne er krypterede, og hævder, at den eneste mulige gendannelsesvej er at få en unik dekrypteringsnøgle og software fra angriberne. Ofrene bliver bedt om at oprette kontakt og betale; beskeden advarer om, at omdøbning, ændring eller forsøg på at dekryptere de låste data uafhængigt kan beskadige dem permanent. Ændringen af baggrundsbilledet afspejler typisk de samme temaer, hvilket øger hastværket.

HVOR REEL ER DATAGENOPRETNING?

I de fleste ransomware-hændelser er dekryptering uden angribernes samarbejde teknisk umuligt, fordi krypteringen er designet til at være kryptografisk stærk. Kun i sjældne tilfælde, normalt når malware-udviklere begår alvorlige implementeringsfejl, er dekryptering mulig uden deres involvering. Selv betaling er ingen garanti: ofre rapporterer regelmæssigt, at de aldrig modtager fungerende værktøjer, modtager delvise dekrypteringsprogrammer eller støder på korrupte nøgler. Betaling finansierer også yderligere kriminelle handlinger, hvilket potentielt kan gøre dig til et gentagende mål. Af disse grunde fraråder sikkerhedseksperter kraftigt at opfylde krav om løsepenge.

STOP BLØDNINGEN: FJERNELSE OG INDESLÆTNING

Det er vigtigt at fjerne Bash 2.0 fra et inficeret miljø for at forhindre yderligere filer i at blive krypteret og for at forhindre truslen i at sprede sig til tilsluttede systemer. Rensning af malware dekrypterer dog ikke allerede låste data. Ægte gendannelse afhænger af at have sikre, offline og ukompromitterede sikkerhedskopier. Før gendannelse skal du isolere berørte maskiner fra netværket, udføre en fuld malwarescanning med opdaterede værktøjer og genopbygge eller genskabe et image, hvor tillid ikke kan garanteres. Tilslut kun gendannede systemer igen, efter at du har bekræftet, at de er rene.

HVORDAN BASH 2.0 SPREDES I VILDEN

Angribere kaster et bredt net. Almindelige distributionsvektorer forbundet med ransomware-kampagner, og relevante for Bash 2.0, inkluderer:

• Ondsindede vedhæftede filer eller links leveret via spam, spear-phishing eller sociale beskedplatforme.
• Medfølgende eller trojaniserede installationsprogrammer, der udgiver sig for at være legitim software, spil, mediecodecs eller produktivitetsværktøjer.
• Drive-by-downloads udløst via kompromitterede eller ondsindede websteder, ofte nået via malware-reklame.
• Tredjeparts-, freeware- og peer-to-peer-downloadkanaler med svag integritetskontrol.
• Ulovlige software-"cracks", keygens og forfalskede aktiveringsværktøjer, der lydløst leverer nyttelast.
• Falske opdateringsprompter (browser, plugin, operativsystem eller program), der installerer malware i stedet for programrettelser.

Nogle trusselsversioner er i stand til at bevæge sig lateralt eller selvudbrede sig, idet de forsøger at krydse lokale netværk eller kopiere sig selv til flytbare medier såsom USB-flashdrev og eksterne diske.

BEDSTE SIKKERHEDSPRAKSIS TIL AT STYRKE DIT FORSVAR

• Vedligehold versionsbaserede, offline og regelmæssigt testede sikkerhedskopier. Gem mindst ét sikkerhedskopisæt off-network (uforanderlig lagring eller write-once-medie foretrækkes).
• Hold operativsystemer, applikationer, sikkerhedspakker og firmware fuldt opdaterede. Aktiver automatiske opdateringer, hvor det er praktisk muligt.
• Implementer velrenommerede anti-malware/EDR-løsninger med adfærdsmæssig ransomware-detektion og rollback-funktioner.
• Brug e-mailfiltrering, sandboxing af vedhæftede filer og linkscanning-gateways for at reducere phishing-risikoen; træn brugerne i at genkende forfalskede afsendere og uventede vedhæftede filer.

AFSLUTTENDE TANKER

Bash 2.0 Ransomware illustrerer, hvor hurtigt trusselsaktører kan genbruge eksisterende kodebaser til nye afpresningsværktøjer. Forsvarere, der udelukkende er afhængige af signaturbaseret detektion eller reaktion i sidste øjeblik, vil forblive i en ulempe. Ved at kombinere disciplinerede backupstrategier, stærk patchhygiejne, lagdelt endpoint- og e-mailforsvar, design med mindst mulige rettigheder og praktiserede responsplaner reducerer du dramatisk både sandsynligheden for og virkningen af en ransomware-hændelse.