Bash 2.0 ransomware

Ransomware ostaje jedna od najrazornijih prijetnji s kojima se suočavaju pojedinci i organizacije. Jedan uspješan upad može uništiti vaše datoteke, zaustaviti poslovne operacije i staviti osjetljive podatke na milost i nemilost iznuđivačima. Proaktivna zaštita, slojevite sigurnosne kontrole, budnost korisnika i pouzdane sigurnosne kopije uvijek će koštati manje od plaćanja kriminalaca (a da i dalje ne dobijete svoje podatke natrag). Bash 2.0 Ransomware, također praćen kao Bash Red, pravovremeni je podsjetnik da obitelji u nastajanju nastavljaju s ponavljanjem provjerenog koda napada dok istovremeno usavršavaju svoje taktike pritiska na žrtve.

UPOZNAJTE BASH 2.0 (BASH CRVENA)

Istraživači su identificirali Bash 2.0 tijekom istraživanja novih aktivnosti zlonamjernog softvera. Prijetnja je izgrađena na kodnoj bazi Chaos ransomwarea, okvira koji je ponovno korišten u više spin-offova. Iskorištavanje Chaosa daje napadačima prednost: šifriranje jezgre, rukovanje datotekama i rutine za slanje otkupnine već su prisutne i mogu se prilagoditi za nove kampanje. Bash 2.0 koristi ove naslijeđene mogućnosti za zaključavanje podataka i iznudu plaćanja.

ŠTO SE DOGAĐA S VAŠIM DATOTEKAMA

Nakon što se Bash 2.0 izvrši na sustavu, pokušava šifrirati dostupne podatke. Svaka pogođena datoteka dobiva dodatnu ekstenziju sastavljenu od četiri nasumična znaka, pretvarajući nešto poput '1.png' u '1.png.2rf9' (slučajni sufiks varira ovisno o infekciji). Ova konvencija preimenovanja pomaže napadačima (i automatiziranim alatima) da prate što je zaključano, a istovremeno odmah signaliziraju žrtvama da njihovi podaci više nisu upotrebljivi. Ransomware također mijenja pozadinu radne površine kako bi vizualno pojačao poruku iznude.

PORUKA O OTKUPNINI: BASHRED-README.TXT

Nakon dovršetka šifriranja, Bash 2.0 ispušta tekstualnu poruku pod nazivom 'bashred-reAdmE.txt'. Poruka obavještava žrtvu da su datoteke šifrirane i tvrdi da je jedini održiv put oporavka dobivanje jedinstvenog ključa za dešifriranje i softvera od napadača. Žrtvama se upućuje da uspostave kontakt i plate; poruka upozorava da bi preimenovanje, mijenjanje ili pokušaj neovisnog dešifriranja zaključanih podataka mogao trajno oštetiti podatke. Promjena pozadine obično odražava iste teme, povećavajući hitnost.

KOLIKO JE OPORAVAK PODATAKA STVARAN?

U većini incidenata s ransomwareom, dešifriranje bez suradnje napadača tehnički je neizvedivo jer je enkripcija dizajnirana da bude kriptografski jaka. Samo u rijetkim slučajevima, obično kada autori zlonamjernog softvera naprave ozbiljne pogreške u implementaciji, dešifriranje je moguće bez njihovog sudjelovanja. Čak ni plaćanje nije jamstvo: žrtve redovito prijavljuju da nikada nisu primile funkcionalne alate, da su primile djelomične dešifratore ili da su naišle na oštećene ključeve. Plaćanje također financira daljnje kriminalne operacije, što vas potencijalno čini ponovnom metom. Iz tih razloga, sigurnosni stručnjaci snažno ne preporučuje ispunjavanje zahtjeva za otkupninom.

ZAUSTAVITE KRVARENJE: UKLANJANJE I SUZBIJANJE

Uklanjanje Bash 2.0 iz zaraženog okruženja ključno je za sprječavanje šifriranja dodatnih datoteka i sprječavanje širenja prijetnje na povezane sustave. Međutim, čišćenje zlonamjernog softvera ne dešifrira već zaključane podatke. Prava obnova ovisi o sigurnim, izvanmrežnim i nekompromitiranim sigurnosnim kopijama. Prije oporavka izolirajte zahvaćena računala od mreže, izvršite potpuno skeniranje zlonamjernog softvera ažuriranim alatima i ponovno izgradite ili reimagirajte sustav tamo gdje se povjerenje ne može osigurati. Obnovljene sustave ponovno spojite tek nakon što provjerite jesu li čisti.

KAKO SE BASH 2.0 ŠIRI U DIVLJINI

Napadači bacaju široku mrežu. Uobičajeni vektori distribucije povezani s kampanjama ransomwarea, a relevantni za Bash 2.0, uključuju:

• Zlonamjerni prilozi ili poveznice isporučeni putem neželjene pošte, spear-phishinga ili platformi za društvene poruke.
• Instalacijski programi u paketu ili zaraženi trojancima koji se predstavljaju kao legitimni softver, igre, medijski kodeci ili alati za produktivnost.
• Drive-by preuzimanja pokrenuta putem kompromitiranih ili zlonamjernih web-mjesta, često dostupnih putem zlonamjernog oglašavanja.
• Kanali za preuzimanje trećih strana, besplatni softver i P2P kanali za preuzimanje sa slabim kontrolama integriteta.
• Ilegalni softverski "crackovi", keygeni i krivotvoreni aktivacijski alati koji tiho isporučuju korisne podatke.
• Lažni upiti za ažuriranje (preglednika, dodatka, OS-a ili aplikacije) koji instaliraju zlonamjerni softver umjesto zakrpa.

Neke prijetnje mogu se širiti lateralno ili samostalno, pokušavajući prelaziti lokalne mreže ili se kopirati na prijenosne medije poput USB flash pogona i vanjskih diskova.

NAJBOLJE SIGURNOSNE PRAKSE ZA JAČANJE VAŠE OBRANBE

• Održavajte verzijske, izvanmrežne i redovito testirane sigurnosne kopije. Pohranite barem jedan skup sigurnosnih kopija izvan mreže (poželjno je nepromjenjiva pohrana ili medij za jednokratno pisanje).
• Održavajte operativne sustave, aplikacije, sigurnosne pakete i firmver potpuno ažuriranima. Omogućite automatska ažuriranja gdje je to praktično.
• Implementirajte pouzdana rješenja protiv zlonamjernog softvera/EDR-a s mogućnostima otkrivanja i vraćanja na prethodno stanje u ponašanju ransomwarea.
• Koristite filtriranje e-pošte, sandbox za privitke i pristupnike za skeniranje poveznica kako biste smanjili rizik od krađe identiteta; obučite korisnike da prepoznaju lažne pošiljatelje i neočekivane privitke.

ZAVRŠNE MISLI

Bash 2.0 Ransomware ilustrira koliko brzo akteri prijetnji mogu prenamijeniti postojeće kodne baze u nove alate za iznudu. Branitelji koji se oslanjaju isključivo na otkrivanje temeljeno na potpisima ili reakciju u zadnji čas ostat će u nepovoljnom položaju. Kombiniranjem discipliniranih strategija sigurnosnog kopiranja, snažne higijene zakrpa, slojevite obrane krajnjih točaka i e-pošte, dizajna s najmanjim privilegijama i uvježbanih priručnika za odgovor, dramatično smanjujete i vjerojatnost i utjecaj ransomware događaja.