Ransomware Bash 2.0

Il ransomware rimane una delle minacce più pericolose per individui e organizzazioni. Una singola intrusione riuscita può compromettere i file, bloccare le operazioni aziendali e mettere i dati sensibili in balia degli estorsori. Protezione proattiva, controlli di sicurezza a più livelli, vigilanza da parte degli utenti e backup affidabili saranno sempre meno costosi rispetto al pagare i criminali (senza comunque recuperare i dati). Il ransomware Bash 2.0, noto anche come Bash Red, è un promemoria tempestivo del fatto che le famiglie emergenti continuano a iterare su codice di attacco collaudato, perfezionando al contempo le loro tattiche di pressione sulle vittime.

INCONTRA BASH 2.0 (BASH RED)

I ricercatori hanno identificato Bash 2.0 durante l'indagine sulle nuove attività malware. La minaccia si basa sul codice sorgente del ransomware Chaos, un framework riutilizzato in numerose versioni derivate. Sfruttare Chaos offre agli aggressori un vantaggio: la crittografia di base, la gestione dei file e le routine per la richiesta di riscatto sono già presenti e possono essere personalizzate per nuove campagne. Bash 2.0 utilizza queste funzionalità ereditate per bloccare i dati ed estorcere denaro.

COSA SUCCEDE AI TUOI FILE

Una volta eseguito su un sistema, Bash 2.0 tenta di crittografare i dati accessibili. Ogni file interessato riceve un'estensione aggiuntiva composta da quattro caratteri casuali, trasformando un file come "1.png" in "1.png.2rf9" (il suffisso casuale varia a seconda dell'infezione). Questa convenzione di rinominazione aiuta gli aggressori (e gli strumenti automatizzati) a tracciare ciò che è stato bloccato, segnalando immediatamente alle vittime che i loro dati non sono più utilizzabili. Il ransomware modifica anche lo sfondo del desktop per rafforzare visivamente il messaggio di estorsione.

IL MESSAGGIO DI RISCATTO: BASHRED-README.TXT

Dopo aver completato la crittografia, Bash 2.0 rilascia un messaggio di testo denominato "bashred-reAdmE.txt". Il messaggio informa la vittima che i file sono crittografati e afferma che l'unico modo per recuperarli è ottenere una chiave di decrittazione univoca e un software dagli aggressori. Alle vittime viene chiesto di stabilire un contatto e pagare; il messaggio avverte che rinominare, modificare o tentare di decrittografare i dati bloccati in modo indipendente potrebbe corromperli definitivamente. Il cambio di sfondo in genere riprende gli stessi temi, aumentando l'urgenza.

QUANTO È REALE IL RECUPERO DATI?

Nella maggior parte degli episodi di ransomware, la decifratura senza la collaborazione degli aggressori è tecnicamente impossibile, poiché la crittografia è progettata per essere crittograficamente forte. Solo in rari casi, solitamente quando gli autori del malware commettono gravi errori di implementazione, la decifratura è possibile senza il loro coinvolgimento. Anche il pagamento non è una garanzia: le vittime segnalano regolarmente di non aver mai ricevuto strumenti funzionanti, di aver ricevuto decryptor parziali o di aver trovato chiavi corrotte. Pagare finanzia anche ulteriori operazioni criminali, rendendo potenzialmente l'utente un bersaglio ricorrente. Per questi motivi, i professionisti della sicurezza sconsigliano vivamente di accettare richieste di riscatto.

FERMARE L’EMORRAGIA: RIMOZIONE E CONTENIMENTO

Eliminare Bash 2.0 da un ambiente infetto è essenziale per impedire la crittografia di file aggiuntivi e la diffusione della minaccia ai sistemi connessi. Tuttavia, la rimozione del malware non decrittografa i dati già bloccati. Un ripristino efficace dipende dalla disponibilità di backup sicuri, offline e non compromessi. Prima del ripristino, isolare i computer interessati dalla rete, eseguire una scansione completa del malware con strumenti aggiornati e ricostruire o ricreare l'immagine laddove l'affidabilità non sia garantita. Riconnettere i sistemi ripristinati solo dopo aver verificato che siano puliti.

COME BASH 2.0 SI DIFFONDE NEL MONDO

Gli aggressori tendono una rete molto ampia. I vettori di distribuzione più comuni legati alle campagne ransomware, e rilevanti per Bash 2.0, includono:

• Allegati o link dannosi inviati tramite spam, spear-phishing o piattaforme di messaggistica social.
• Programmi di installazione in bundle o trojanizzati che si spacciano per software, giochi, codec multimediali o strumenti di produttività legittimi.
• Download drive-by attivati tramite siti compromessi o dannosi, spesso raggiunti tramite malvertising.
• Canali di download di terze parti, freeware e peer-to-peer con controlli di integrità deboli.
• Crack di software illegali, keygen e utility di attivazione contraffatte che distribuiscono silenziosamente payload.
• Richieste di aggiornamento false (browser, plugin, sistema operativo o applicazione) che installano malware anziché patch.

Alcune build di minacce sono in grado di muoversi lateralmente o di auto-propagarsi, tentando di attraversare le reti locali o di copiarsi su supporti rimovibili come unità flash USB e dischi esterni.

LE MIGLIORI PRATICHE DI SICUREZZA PER POTENZIARE LE TUE DIFESE

• Mantenere backup versionati, offline e regolarmente testati. Conservare almeno un set di backup fuori dalla rete (preferibilmente su storage immutabile o supporti scrivibili una sola volta).
• Mantieni sistemi operativi, applicazioni, suite di sicurezza e firmware sempre aggiornati con le patch più recenti. Abilita gli aggiornamenti automatici ove possibile.
• Implementa soluzioni anti-malware/EDR affidabili con funzionalità di rilevamento e rollback del ransomware comportamentale.
• Utilizzare filtri e-mail, sandbox per gli allegati e gateway di scansione dei link per ridurre il rischio di phishing; formare gli utenti a individuare mittenti falsificati e allegati inaspettati.

• Disattiva o limita le macro e i contenuti attivi nei formati dei documenti; apri i documenti indesiderati in visualizzazione protetta.

• Utilizzare account utente con privilegi minimi; riservare le credenziali amministrative per sessioni dedicate e protette.

• Segmentare le reti e applicare controlli di accesso in modo che un singolo endpoint compromesso non possa raggiungere tutte le condivisioni critiche.

• Richiedi l'autenticazione a più fattori per l'accesso remoto, le azioni privilegiate e le console di amministrazione di backup.

• Disattivare l'esecuzione automatica/riproduzione automatica sui supporti rimovibili; eseguire la scansione delle unità esterne prima del montaggio sui sistemi di produzione.

CONSIDERAZIONI FINALI

Il ransomware Bash 2.0 dimostra la rapidità con cui gli autori delle minacce possono riutilizzare le basi di codice esistenti per trasformarle in nuovi strumenti di estorsione. I difensori che si affidano esclusivamente al rilevamento basato sulle firme o a una reazione dell'ultimo minuto rimarranno svantaggiati. Combinando strategie di backup rigorose, un'attenta pulizia delle patch, difese a più livelli per endpoint ed email, una progettazione basata sui privilegi minimi e strategie di risposta collaudate, è possibile ridurre drasticamente sia la probabilità che l'impatto di un evento ransomware.