Bash 2.0 Ransomware

Το ransomware παραμένει μια από τις πιο ανατρεπτικές απειλές που αντιμετωπίζουν άτομα και οργανισμούς. Μια μεμονωμένη επιτυχημένη εισβολή μπορεί να ανακατέψει τα αρχεία σας, να σταματήσει τις επιχειρηματικές δραστηριότητες και να θέσει ευαίσθητα δεδομένα στο έλεος των εκβιαστών. Η προληπτική προστασία, τα πολυεπίπεδα στοιχεία ελέγχου ασφαλείας, η επαγρύπνηση των χρηστών και τα αξιόπιστα αντίγραφα ασφαλείας θα κοστίζουν πάντα λιγότερο από το να πληρώνετε εγκληματίες (και παρόλα αυτά να μην παίρνετε πίσω τα δεδομένα σας). Το Bash 2.0 Ransomware, που παρακολουθείται επίσης ως Bash Red, αποτελεί μια επίκαιρη υπενθύμιση ότι οι αναδυόμενες οικογένειες συνεχίζουν να επαναλαμβάνουν τον αποδεδειγμένο κώδικα επίθεσης, βελτιώνοντας παράλληλα τις τακτικές πίεσης κατά των θυμάτων.

ΓΝΩΡΙΣΤΕ ΤΟ BASH 2.0 (BASH ΚΟΚΚΙΝΟ)

Οι ερευνητές εντόπισαν το Bash 2.0 κατά την έρευνα για νέα δραστηριότητα κακόβουλου λογισμικού. Η απειλή βασίζεται στον κώδικα του ransomware Chaos, ένα πλαίσιο που έχει επαναχρησιμοποιηθεί σε πολλαπλά spin-offs. Η αξιοποίηση του Chaos δίνει στους επιτιθέμενους ένα προβάδισμα: η κρυπτογράφηση πυρήνα, η διαχείριση αρχείων και οι ρουτίνες σημείωσης ransomware υπάρχουν ήδη και μπορούν να προσαρμοστούν για νέες καμπάνιες. Το Bash 2.0 χρησιμοποιεί αυτές τις κληρονομημένες δυνατότητες για να κλειδώνει δεδομένα και να αποσπά πληρωμές.

ΤΙ ΣΥΜΒΑΙΝΕΙ ΜΕ ΤΑ ΑΡΧΕΙΑ ΣΑΣ

Μόλις εκτελεστεί το Bash 2.0 σε ένα σύστημα, επιχειρεί να κρυπτογραφήσει τα προσβάσιμα δεδομένα. Κάθε αρχείο που επηρεάζεται λαμβάνει μια επιπλέον επέκταση που αποτελείται από τέσσερις τυχαίους χαρακτήρες, μετατρέποντας κάτι σαν το '1.png' σε '1.png.2rf9' (το τυχαίο επίθημα ποικίλλει ανά μόλυνση). Αυτή η σύμβαση μετονομασίας βοηθά τους εισβολείς (και τα αυτοματοποιημένα εργαλεία) να παρακολουθούν τι έχει κλειδωθεί, ενώ παράλληλα σηματοδοτεί άμεσα στα θύματα ότι τα δεδομένα τους δεν είναι πλέον χρησιμοποιήσιμα. Το ransomware τροποποιεί επίσης την ταπετσαρία της επιφάνειας εργασίας για να ενισχύσει οπτικά το μήνυμα εκβιασμού.

ΤΟ ΜΗΝΥΜΑ ΤΩΝ ΛΥΤΡΩΝ: BASHRED-README.TXT

Μετά την ολοκλήρωση της κρυπτογράφησης, το Bash 2.0 εμφανίζει ένα σημείωμα κειμένου με το όνομα 'bashred-reAdmE.txt'. Το μήνυμα ενημερώνει το θύμα ότι τα αρχεία είναι κρυπτογραφημένα και ισχυρίζεται ότι η μόνη βιώσιμη διαδρομή ανάκτησης είναι η απόκτηση ενός μοναδικού κλειδιού αποκρυπτογράφησης και λογισμικού από τους εισβολείς. Τα θύματα λαμβάνουν οδηγίες να επικοινωνήσουν και να πληρώσουν. Το σημείωμα προειδοποιεί ότι η μετονομασία, η τροποποίηση ή η προσπάθεια αποκρυπτογράφησης των κλειδωμένων δεδομένων ανεξάρτητα θα μπορούσε να τα καταστρέψει μόνιμα. Η αλλαγή ταπετσαρίας συνήθως αντικατοπτρίζει τα ίδια θέματα, αυξάνοντας τον επείγοντα χαρακτήρα.

ΠΟΣΟ ΠΡΑΓΜΑΤΙΚΗ ΕΙΝΑΙ Η ΑΝΑΚΤΗΣΗ ΔΕΔΟΜΕΝΩΝ;

Στα περισσότερα περιστατικά ransomware, η αποκρυπτογράφηση χωρίς τη συνεργασία των εισβολέων είναι τεχνικά ανέφικτη, επειδή η κρυπτογράφηση έχει σχεδιαστεί για να είναι κρυπτογραφικά ισχυρή. Μόνο σε σπάνιες περιπτώσεις, συνήθως όταν οι δημιουργοί κακόβουλου λογισμικού κάνουν σοβαρά λάθη υλοποίησης, είναι δυνατή η αποκρυπτογράφηση χωρίς τη συμμετοχή τους. Ακόμα και η πληρωμή δεν αποτελεί εγγύηση: τα θύματα αναφέρουν τακτικά ότι δεν λαμβάνουν ποτέ εργαλεία που λειτουργούν, ότι λαμβάνουν μερικούς αποκρυπτογράφους ή ότι συναντούν κατεστραμμένα κλειδιά. Η πληρωμή χρηματοδοτεί επίσης περαιτέρω εγκληματικές δραστηριότητες, καθιστώντας σας ενδεχομένως επαναλαμβανόμενο στόχο. Για αυτούς τους λόγους, οι επαγγελματίες ασφαλείας αποθαρρύνουν έντονα την ικανοποίηση αιτημάτων λύτρων.

ΣΤΑΜΑΤΗΣΤΕ ΤΗΝ ΑΙΜΟΡΡΑΓΙΑ: ΑΦΑΙΡΕΣΗ ΚΑΙ ΠΕΡΙΟΡΙΣΜΟΣ

Η εξάλειψη του Bash 2.0 από ένα μολυσμένο περιβάλλον είναι απαραίτητη για να αποτραπεί η κρυπτογράφηση πρόσθετων αρχείων και για να αποτραπεί η εξάπλωση της απειλής σε συνδεδεμένα συστήματα. Ωστόσο, ο καθαρισμός του κακόβουλου λογισμικού δεν αποκρυπτογραφεί τα ήδη κλειδωμένα δεδομένα. Η πραγματική αποκατάσταση εξαρτάται από την ύπαρξη ασφαλών, εκτός σύνδεσης και χωρίς παραβιάσεις αντιγράφων ασφαλείας. Πριν από την ανάκτηση, απομονώστε τα επηρεαζόμενα μηχανήματα από το δίκτυο, εκτελέστε πλήρη σάρωση κακόβουλου λογισμικού με ενημερωμένα εργαλεία και ανακατασκευάστε ή δημιουργήστε ξανά εικόνα όπου δεν μπορεί να διασφαλιστεί η εμπιστοσύνη. Επανασυνδέστε τα αποκατεστημένα συστήματα μόνο αφού επαληθεύσετε ότι είναι καθαρά.

ΠΩΣ ΕΞΑΠΛΩΝΕΤΑΙ ΤΟ BASH 2.0 ΣΤΗΝ ΑΓΡΙΑ ΦΥΣΗ

Οι επιτιθέμενοι πετάνε ένα ευρύ δίκτυο. Συνήθεις φορείς διανομής που συνδέονται με εκστρατείες ransomware και σχετίζονται με το Bash 2.0 περιλαμβάνουν:

• Κακόβουλα συνημμένα ή σύνδεσμοι που παραδίδονται μέσω ανεπιθύμητης αλληλογραφίας, ηλεκτρονικού "ψαρέματος" (spear-phishing) ή πλατφορμών κοινωνικής δικτύωσης.
• Εγκαταστάτες που έχουν ενσωματωθεί σε πακέτα ή έχουν μολυνθεί με trojan και παρουσιάζονται ως νόμιμο λογισμικό, παιχνίδια, κωδικοποιητές πολυμέσων ή εργαλεία παραγωγικότητας.
• Λήψεις που ενεργοποιούνται από παραβιασμένους ή κακόβουλους ιστότοπους, στους οποίους συχνά γίνεται πρόσβαση μέσω κακόβουλης διαφήμισης.
• Κανάλια λήψης τρίτων, δωρεάν λογισμικού και peer-to-peer με αδύναμους ελέγχους ακεραιότητας.
• Παράνομο λογισμικό «κρακάρει», δημιουργεί keygens και πλαστά βοηθητικά προγράμματα ενεργοποίησης που παρέχουν σιωπηλά ωφέλιμα φορτία.
• Ψεύτικες προτροπές ενημέρωσης (πρόγραμμα περιήγησης, πρόσθετο, λειτουργικό σύστημα ή εφαρμογή) που εγκαθιστούν κακόβουλο λογισμικό αντί για ενημερώσεις κώδικα.

Ορισμένες δομές απειλών είναι ικανές για πλευρική κίνηση ή αυτοδιάδοση, επιχειρώντας να διασχίσουν τοπικά δίκτυα ή να αντιγραφούν σε αφαιρούμενα μέσα, όπως μονάδες flash USB και εξωτερικούς δίσκους.

ΚΑΛΥΤΕΡΕΣ ΠΡΑΚΤΙΚΕΣ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΕΝΙΣΧΥΣΗ ΤΗΣ ΑΜΥΝΑΣ ΣΑΣ

• Διατηρήστε αντίγραφα ασφαλείας με ενημερωμένες εκδόσεις, εκτός σύνδεσης και τακτικά ελεγμένα αντίγραφα ασφαλείας. Αποθηκεύστε τουλάχιστον ένα σύνολο αντιγράφων ασφαλείας εκτός δικτύου (προτιμάται αμετάβλητος χώρος αποθήκευσης ή μέσο εγγραφής μία φορά).
• Διατηρήστε τα λειτουργικά συστήματα, τις εφαρμογές, τις σουίτες ασφαλείας και το υλικολογισμικό πλήρως ενημερωμένα. Ενεργοποιήστε τις αυτόματες ενημερώσεις όπου είναι εφικτό.
• Αναπτύξτε αξιόπιστες λύσεις κατά του κακόβουλου λογισμικού/EDR με δυνατότητες ανίχνευσης ransomware συμπεριφοράς και επαναφοράς.
• Χρησιμοποιήστε φιλτράρισμα email, sandboxing συνημμένων και πύλες σάρωσης συνδέσμων για να μειώσετε τον κίνδυνο ηλεκτρονικού "ψαρέματος" (phishing). Εκπαιδεύστε τους χρήστες να εντοπίζουν πλαστογραφημένους αποστολείς και μη αναμενόμενα συνημμένα.

ΤΕΛΙΚΕΣ ΣΚΕΨΕΙΣ

Το Bash 2.0 Ransomware δείχνει πόσο γρήγορα οι απειλητικοί παράγοντες μπορούν να επαναχρησιμοποιήσουν υπάρχουσες βάσεις κώδικα σε νέα εργαλεία εκβιασμού. Οι υπερασπιστές που βασίζονται αποκλειστικά στην ανίχνευση βάσει υπογραφών ή στην αντίδραση της τελευταίας στιγμής θα παραμείνουν σε μειονεκτική θέση. Συνδυάζοντας πειθαρχημένες στρατηγικές δημιουργίας αντιγράφων ασφαλείας, ισχυρή υγιεινή ενημερώσεων κώδικα, πολυεπίπεδες άμυνες τελικών σημείων και email, σχεδιασμό με τα λιγότερα προνόμια και εξοικειωμένα εγχειρίδια απόκρισης, μειώνετε δραματικά τόσο την πιθανότητα όσο και τον αντίκτυπο ενός συμβάντος ransomware.