Bash 2.0 zsarolóvírus

A zsarolóvírusok továbbra is az egyik legzavaróbb fenyegetés, amellyel az egyének és a szervezetek szembesülnek. Egyetlen sikeres behatolás is összezavarhatja a fájljainkat, leállíthatja az üzleti tevékenységet, és a zsarolók kegyelmére bízhatja az érzékeny adatokat. A proaktív védelem, a rétegzett biztonsági ellenőrzések, a felhasználói éberség és a megbízható biztonsági mentések mindig kevesebbe kerülnek, mint a bűnözők kifizetése (és az adatok visszaszerzése). A Bash 2.0 zsarolóvírus, más néven Bash Red, időszerű emlékeztető arra, hogy az újonnan felbukkanó családok továbbra is a bevált támadási kódokon dolgoznak, miközben finomítják az áldozatokkal szembeni nyomásgyakorlás taktikáikat.

ISMERJE MEG A BASH 2.0-T (BASH RED)

A kutatók az új rosszindulatú programok tevékenységének felmérése során azonosították a Bash 2.0-t. A fenyegetés a Chaos zsarolóvírus-kódbázisra épül, egy olyan keretrendszerre, amelyet több spin-offban is újrahasznosítottak. A Chaos kihasználása előnyt biztosít a támadóknak: az alapvető titkosítás, a fájlkezelés és a váltságdíjkövető rutinok már jelen vannak, és testreszabhatók az új kampányokhoz. A Bash 2.0 ezeket az örökölt képességeket használja az adatok zárolására és a pénz kikényszerítésére.

MI TÖRTÉNIK A FÁJLOKKAL?

Amint a Bash 2.0 elindul egy rendszeren, megpróbálja titkosítani a hozzáférhető adatokat. Minden érintett fájl egy négy véletlenszerű karakterből álló extra kiterjesztést kap, így az „1.png”-hez hasonló fájlt „1.png.2rf9”-re alakítja (a véletlenszerű utótag fertőzésenként változik). Ez az átnevezési konvenció segít a támadóknak (és az automatizált eszközöknek) nyomon követni, hogy mi lett zárolva, miközben azonnal jelzi az áldozatoknak, hogy adataik már nem használhatók. A zsarolóvírus a háttérképet is megváltoztatja, hogy vizuálisan megerősítse a zsarolási üzenetet.

A VÁLTSÁGÜZENET: BASHRED-README.TXT

A titkosítás befejezése után a Bash 2.0 egy „bashred-reAdmE.txt” nevű szöveges üzenetet küld. Az üzenet tájékoztatja az áldozatot, hogy a fájlok titkosítva vannak, és azt állítja, hogy a helyreállítás egyetlen járható útja egy egyedi visszafejtési kulcs és szoftver beszerzése a támadóktól. Az áldozatokat arra utasítják, hogy vegyék fel a kapcsolatot és fizessenek; az üzenet figyelmeztet, hogy a zárolt adatok átnevezése, módosítása vagy önálló visszafejtésének megkísérlése véglegesen károsíthatja azokat. A háttérképcsere jellemzően ugyanazokat a témákat visszhangozza, fokozva a sürgősséget.

MENNYIRE VALÓS AZ ADAT-VISSZAÁLLÍTÁS?

A legtöbb zsarolóvírus-incidensben a visszafejtés a támadók együttműködése nélkül technikailag kivitelezhetetlen, mivel a titkosítást kriptográfiailag erősre tervezték. Csak ritka esetekben, általában akkor, amikor a rosszindulatú programok készítői súlyos megvalósítási hibákat követnek el, lehetséges a visszafejtés az ő közreműködésük nélkül. Még a fizetés sem garantált: az áldozatok rendszeresen arról számolnak be, hogy soha nem kapják meg a működő eszközöket, részleges visszafejtőket kapnak, vagy sérült kulcsokkal találkoznak. A fizetés további bűncselekményeket is finanszíroz, ami potenciálisan ismételt célponttá teheti Önt. Ezen okok miatt a biztonsági szakemberek határozottan nem javasolják a váltságdíj-követelések teljesítését.

A VÉRZÉS ELÁLLÍTÁSA: ELTÁVOLÍTÁS ÉS ELZÁRÁS

A Bash 2.0 eltávolítása egy fertőzött környezetből elengedhetetlen a további fájlok titkosításának megakadályozásához, valamint a fenyegetés csatlakoztatott rendszerekre való terjedésének megakadályozásához. A kártevő megtisztítása azonban nem fejti vissza a már zárolt adatokat. A valódi helyreállítás a biztonságos, offline és sértetlen biztonsági mentésektől függ. A helyreállítás előtt izolálja az érintett gépeket a hálózatról, végezzen teljes kártevő-ellenőrzést naprakész eszközökkel, és építse újra vagy készítsen új lemezképet, ha a megbízhatóság nem garantálható. A visszaállított rendszereket csak azután csatlakoztassa újra, miután ellenőrizte azok tisztaságát.

HOGYAN TERJEDI EL A BASH 2.0 A VADON

A támadók széles hálót vetettek be. A zsarolóvírus-kampányokhoz kapcsolódó és a Bash 2.0-hoz kapcsolódó gyakori terjesztési vektorok a következők:

• Rosszindulatú mellékletek vagy linkek, amelyeket spam, adathalászat vagy közösségi üzenetküldő platformok útján küldenek.
• Legális szoftvernek, játéknak, médiakodeknek vagy termelékenységi eszközöknek kiadó, mellékelt vagy trójai vírussal fertőzött telepítők.
• Feltört vagy rosszindulatú webhelyeken keresztül indított, gyakran rosszindulatú hirdetések útján elért, automatikus letöltések.
• Harmadik féltől származó, ingyenes szoftverek és peer-to-peer letöltési csatornák gyenge integritás-ellenőrzéssel.
• Illegális szoftverek „feltörései”, kulcsgenerátorok és hamisított aktiváló segédprogramok, amelyek csendben kézbesítik a hasznos adatokat.
• Hamis frissítési felszólítások (böngésző, bővítmény, operációs rendszer vagy alkalmazás), amelyek javítások helyett kártevőket telepítenek.

Néhány fenyegetés-build képes oldalirányú mozgásra vagy önterjedésre, megpróbálva bejárni a helyi hálózatokat, vagy cserélhető adathordozókra, például USB flash meghajtókra és külső lemezekre másolni magát.

LEGJOBB BIZTONSÁGI GYAKORLATOK A VÉDELEM FOKOZÁSÁRA

• Verziózott, offline és rendszeresen tesztelt biztonsági mentéseket kell készíteni. Legalább egy biztonsági mentést hálózaton kívül kell tárolni (lehetőleg megváltoztathatatlan tárolón vagy egyszer írható adathordozón).
• Tartsa az operációs rendszereket, alkalmazásokat, biztonsági csomagokat és firmware-eket teljes körűen frissítve. Engedélyezze az automatikus frissítéseket, ahol ez gyakorlatilag lehetséges.
• Telepítsen megbízható kártevőirtó/EDR megoldásokat viselkedésalapú zsarolóvírus-észlelési és visszagörgetési funkciókkal.
• Használjon e-mail-szűrést, melléklet-sandboxolást és linkkereső átjárókat az adathalászat kockázatának csökkentése érdekében; képezze ki a felhasználókat a hamis feladók és a váratlan mellékletek felismerésére.

• Makrók és aktív tartalmak letiltása vagy korlátozása dokumentumformátumokban; kéretlen dokumentumok megnyitása védett nézetben.

• A legkevesebb jogosultságú felhasználói fiókokkal működjön; adminisztrátori hitelesítő adatokat tartson fenn dedikált, biztonságos munkamenetekhez.

• Szegmentálja a hálózatokat és érvényesítse a hozzáférés-vezérlést, hogy egyetlen feltört végpont ne érhesse el az összes kritikus megosztást.

• Többtényezős hitelesítés szükséges a távoli hozzáféréshez, a kiemelt műveletekhez és a biztonsági mentések adminisztrációs konzoljaihoz.

• Tiltsa le az automatikus futtatást/lejátszást a cserélhető adathordozókon; a külső meghajtókat az éles rendszerekre való csatlakoztatás előtt vizsgálja át.

ZÁRÓGONDOLATOK

A Bash 2.0 zsarolóvírus-támadás jól szemlélteti, hogy a kiberfenyegetők milyen gyorsan tudják a meglévő kódbázisokat új zsarolóeszközökké átalakítani. Azok a védők, akik kizárólag az aláírás-alapú észlelésre vagy az utolsó pillanatban történő reagálásra támaszkodnak, továbbra is hátrányban lesznek. A fegyelmezett biztonsági mentési stratégiák, az erős javításhigiénia, a rétegzett végpont- és e-mail-védelem, a legkisebb jogosultságú tervezés és a begyakorolt válaszlépések kombinálásával drámaian csökkenthető mind a zsarolóvírus-események valószínűsége, mind a hatásuk.