Bash 2.0 -kiristysohjelma

Kiristysohjelmat ovat edelleen yksi häiritsevimmistä uhkista, joita yksilöt ja organisaatiot kohtaavat. Yksikin onnistunut tunkeutuminen voi sekoittaa tiedostosi, pysäyttää liiketoiminnan ja asettaa arkaluontoiset tiedot kiristäjien armoille. Ennakoiva suojaus, kerrostetut turvatoimet, käyttäjien valppaus ja luotettavat varmuuskopiot tulevat aina halvemmiksi kuin rikollisille maksaminen (ja silti tietojen palauttamatta jättäminen). Bash 2.0 -kiristysohjelmaperheet, joita seurataan myös nimellä Bash Red, ovat ajankohtainen muistutus siitä, että uudet hyökkäysohjelmaperheet jatkavat todistetusti toimivaksi todistetun hyökkäyskoodin iterointia samalla kun ne hiovat painostustaktiikkojaan uhreja vastaan.

TAPAA BASH 2.0 (BASH RED)

Tutkijat tunnistivat Bash 2.0:n kartoittaessaan uutta haittaohjelmatoimintaa. Uhka perustuu Chaos-kiristysohjelmakoodikantaan, jota on käytetty uudelleen useissa eri ohjelmissa. Chaosin hyödyntäminen antaa hyökkääjille etumatkan: ydinsalaus, tiedostojen käsittely ja lunnasvaatimusrutiinit ovat jo olemassa ja niitä voidaan mukauttaa uusiin kampanjoihin. Bash 2.0 käyttää näitä perittyjä ominaisuuksia tietojen lukitsemiseen ja maksujen kiristämiseen.

MITÄ TIEDOSTOILLESI TAPAHTUU

Kun Bash 2.0 käynnistyy järjestelmässä, se yrittää salata saatavilla olevia tietoja. Jokainen tartunnan saanut tiedosto saa ylimääräisen, neljästä satunnaisesta merkistä koostuvan tiedostopäätteen, joka muuttaa esimerkiksi '1.png':n muotoon '1.png.2rf9' (satunnainen pääte vaihtelee tartunnan mukaan). Tämä uudelleennimeämiskäytäntö auttaa hyökkääjiä (ja automatisoituja työkaluja) seuraamaan lukittuja kohteita ja samalla ilmoittaa uhreille välittömästi, että heidän tietojaan ei voida enää käyttää. Kiristysohjelma muuttaa myös työpöydän taustakuvaa vahvistaakseen kiristysviestiä visuaalisesti.

LUNNASMAKSUVIESTI: BASHRED-README.TXT

Salauksen valmistuttua Bash 2.0 pudottaa tekstiviestin nimeltä 'bashred-reAdmE.txt'. Viestissä uhrille kerrotaan, että tiedostot on salattu, ja väitetään, että ainoa mahdollinen palautustapa on hankkia hyökkääjiltä yksilöllinen salausavain ja ohjelmisto. Uhreja ohjeistetaan ottamaan yhteyttä ja maksamaan; viestissä varoitetaan, että lukittujen tietojen uudelleennimeäminen, muokkaaminen tai salauksen purkaminen itsenäisesti voi vahingoittaa niitä pysyvästi. Taustakuvan vaihto heijastelee tyypillisesti samoja teemoja, mikä lisää kiireellisyyttä.

KUINKA TODELLISTA TIETOJEN PALAUTTAMINEN ON?

Useimmissa kiristysohjelmatapauksissa salauksen purkaminen ilman hyökkääjien yhteistyötä on teknisesti mahdotonta, koska salaus on suunniteltu kryptografisesti vahvaksi. Vain harvinaisissa tapauksissa, yleensä silloin, kun haittaohjelmien tekijät tekevät vakavia toteutusvirheitä, salauksen purkaminen on mahdollista ilman heidän osallistumistaan. Edes maksaminen ei ole tae: uhrit raportoivat säännöllisesti, etteivät he koskaan saa toimivia työkaluja, saavat osittaisia salauksen purkajia tai kohtaavat vioittuneita avaimia. Maksaminen rahoittaa myös lisää rikollista toimintaa, mikä voi tehdä sinusta toistuvan kohteen. Näistä syistä turvallisuusalan ammattilaiset eivät suosittele lunnaiden maksamista.

VERENVUODON TYKKÄÄMINEN: POISTAMINEN JA RAJOITTAMINEN

Bash 2.0:n poistaminen tartunnan saaneesta ympäristöstä on välttämätöntä, jotta estetään lisätiedostojen salaaminen ja estetään uhan leviäminen yhdistettyihin järjestelmiin. Haittaohjelman puhdistaminen ei kuitenkaan pura jo lukittujen tietojen salausta. Todellinen palautus edellyttää turvallisia, offline-tilassa olevia ja vaarantumattomia varmuuskopioita. Ennen palautusta eristä tartunnan saaneet koneet verkosta, suorita täydellinen haittaohjelmatarkistus päivitetyillä työkaluilla ja rakenna uudelleen tai luo uusi levykuva, jos luotettavuutta ei voida taata. Yhdistä palautetut järjestelmät uudelleen vasta sen jälkeen, kun olet varmistanut niiden olevan puhtaita.

MITEN BASH 2.0 LEVIÄÄ LUONNOSSA

Hyökkääjät heittävätkö laajan verkon. Yleisiä kiristyshaittaohjelmakampanjoihin liittyviä ja Bash 2.0:n kannalta olennaisia levitysvektoreita ovat:

• Roskapostin, verkkourkinnan tai sosiaalisen median alustojen kautta toimitetut haitalliset liitteet tai linkit.
• Mukana tulevat tai troijalaiset asennusohjelmat, jotka tekeytyvät laillisiksi ohjelmistoiksi, peleiksi, mediakoodekeiksi tai tuottavuustyökaluiksi.
• Vaarantuneilta tai haitallisilta sivustoilta, joihin usein päästään haittaohjelmien avulla, käynnistetyt drive-by-lataukset.
• Kolmannen osapuolen, ilmaisohjelmien ja vertaisverkon latauskanavat, joilla on heikko eheysvalvonta.
• Laittomat ohjelmistot "murtuvat", avainten generoinnit ja väärennetyt aktivointityökalut, jotka toimittavat hyötykuormia salaa.
• Väärennetyt päivityskehotteet (selain, lisäosa, käyttöjärjestelmä tai sovellus), jotka asentavat haittaohjelmia korjauspäivitysten sijaan.

Jotkin uhkaversiot pystyvät liikkumaan sivusuunnassa tai leviämään itse, yrittäen kulkea paikallisissa verkoissa tai kopioida itsensä irrotettaville tallennusvälineille, kuten USB-muistitikuille ja ulkoisille levyille.

PARHAAT TURVALLISUUSKÄYTÄNNÖT PUOLUSTUSKYKYJEN PARANTAMISEKSI

• Pidä yllä versioituja, offline-tilassa olevia ja säännöllisesti testattuja varmuuskopioita. Tallenna vähintään yksi varmuuskopiosarja verkon ulkopuolelle (mieluiten muuttumattomaan tallennustilaan tai kertakirjoitettavaan tallennusvälineeseen).
• Pidä käyttöjärjestelmät, sovellukset, tietoturvapaketit ja laiteohjelmistot täysin ajan tasalla. Ota automaattiset päivitykset käyttöön mahdollisuuksien mukaan.
• Ota käyttöön hyvämaineisia haittaohjelmien torjunta-/EDR-ratkaisuja, joissa on käyttäytymiseen perustuvien kiristysohjelmien tunnistus- ja palautusominaisuudet.
• Käytä sähköpostin suodatusta, liitetiedostojen hiekkalaatikkoa ja linkkien skannausyhdyskäytäviä vähentääksesi tietojenkalasteluriskiä ja kouluta käyttäjiä tunnistamaan väärennetyt lähettäjät ja odottamattomat liitteet.

• Poista käytöstä tai rajoita makroja ja aktiivista sisältöä asiakirjamuodoissa; avaa pyytämättä lähetettyjä asiakirjoja suojatussa näkymässä.

• Käytä käyttäjätilejä, joilla on vähiten käyttöoikeuksia; varaa järjestelmänvalvojan tunnukset vain omille, suojatuille istunnoille.

• Segmentoi verkot ja valvo käyttöoikeuksien hallintaa siten, että yksittäinen vaarantunut päätepiste ei voi tavoittaa kaikkia kriittisiä jakoja.

• Vaadi monivaiheista todennusta etäkäyttöön, etuoikeutettuihin toimintoihin ja varmuuskopiohallintakonsoleihin.

• Poista automaattinen käynnistys/toisto käytöstä irrotettavilla tallennusvälineillä; tarkista ulkoiset asemat ennen tuotantojärjestelmiin liittämistä.

LOPPUAJATUKSIA

Bash 2.0 -kiristysohjelmat havainnollistavat, kuinka nopeasti uhkatoimijat voivat käyttää olemassa olevia koodikantoja uusiksi kiristystyökaluiksi. Puolustajat, jotka luottavat yksinomaan allekirjoituspohjaiseen tunnistukseen tai viime hetken reagointiin, ovat edelleen epäedullisessa asemassa. Yhdistämällä kurinalaisia varmuuskopiointistrategioita, vahvaa korjauspäivitysten hygieniaa, kerrostettuja päätepiste- ja sähköpostipuolustuksia, pienimmän käyttöoikeuden suunnittelua ja harjoiteltuja reagointiohjeita, vähennät merkittävästi sekä kiristysohjelmahyökkäyksen todennäköisyyttä että vaikutusta.