Bash 2.0 랜섬웨어

랜섬웨어는 개인과 조직이 직면한 가장 파괴적인 위협 중 하나입니다. 단 한 번의 성공적인 침입만으로도 파일이 손상되고, 비즈니스 운영이 중단되며, 민감한 데이터가 갈취범의 손아귀에 놓이게 될 수 있습니다. 선제적 보호, 다층적인 보안 제어, 사용자 경계, 그리고 안정적인 백업은 범죄자에게 돈을 지불하는 것보다 (그래도 데이터를 되찾지 못하는 것보다) 항상 저렴합니다. Bash Red로도 알려진 Bash 2.0 랜섬웨어는 새로운 유포 집단이 입증된 공격 코드를 계속해서 반복하면서 피해자를 향한 압박 전술을 더욱 정교하게 만들고 있음을 시의적절하게 보여줍니다.

BASH 2.0(BASH RED)을 만나보세요

연구원들은 새로운 악성코드 활동을 조사하던 중 Bash 2.0을 발견했습니다. 이 위협은 여러 파생작에서 재사용된 프레임워크인 Chaos 랜섬웨어 코드베이스를 기반으로 합니다. Chaos를 활용하면 공격자에게 유리한 위치를 선점할 수 있습니다. 핵심 암호화, 파일 처리, 랜섬 노트 루틴이 이미 존재하며 새로운 공격에 맞춰 사용자 정의할 수 있습니다. Bash 2.0은 이러한 상속된 기능을 활용하여 데이터를 잠그고 금전을 갈취합니다.

귀하의 파일에 무슨 일이 발생합니까?

Bash 2.0은 시스템에서 실행되면 접근 가능한 데이터를 암호화하려고 시도합니다. 감염된 각 파일에는 네 개의 무작위 문자로 구성된 추가 확장자가 부여되어 '1.png'와 같은 파일은 '1.png.2rf9'로 변환됩니다(무작위 접미사는 감염 여부에 따라 다릅니다). 이러한 이름 변경 규칙은 공격자(및 자동화 도구)가 잠긴 파일을 추적하는 동시에 피해자에게 데이터를 더 이상 사용할 수 없음을 즉시 알리는 데 도움이 됩니다. 또한 랜섬웨어는 데스크톱 배경화면을 변경하여 협박 메시지를 시각적으로 강조합니다.

몸값 요구 메시지: BASHRED-README.TXT

암호화가 완료되면 Bash 2.0은 'bashred-reAdmE.txt'라는 텍스트 메모를 남깁니다. 이 메시지는 피해자에게 파일이 암호화되었음을 알리고, 유일한 복구 방법은 공격자로부터 고유 복호화 키와 소프트웨어를 얻는 것이라고 주장합니다. 피해자는 연락을 취하고 비용을 지불하라는 지시를 받습니다. 이 메모는 잠긴 데이터의 이름을 바꾸거나, 수정하거나, 독립적으로 복호화를 시도할 경우 데이터가 영구적으로 손상될 수 있다고 경고합니다. 배경화면 변경은 일반적으로 동일한 주제를 반영하여 긴급성을 높입니다.

데이터 복구는 얼마나 현실적인가?

대부분의 랜섬웨어 공격에서 공격자의 협조 없이는 복호화가 기술적으로 불가능합니다. 암호화가 암호화적으로 강력하게 설계되었기 때문입니다. 악성코드 개발자가 심각한 구현 실수를 저지르는 드문 경우에만 공격자의 개입 없이 복호화가 가능합니다. 몸값을 지불한다고 해서 보장되는 것은 아닙니다. 피해자들은 제대로 작동하는 도구를 받지 못하거나, 부분적인 복호화 도구를 받거나, 손상된 키를 발견하는 경우가 빈번하게 보고됩니다. 몸값을 지불하면 추가적인 범죄 활동 자금으로 사용되어 재범의 표적이 될 수 있습니다. 이러한 이유로 보안 전문가들은 몸값 요구를 받아들이지 말 것을 강력히 권고합니다.

출혈을 멈추세요: 제거 및 봉쇄

감염된 환경에서 Bash 2.0을 제거하는 것은 추가 파일 암호화를 막고 연결된 시스템으로의 위협 확산을 방지하는 데 필수적입니다. 그러나 악성코드를 치료한다고 해서 이미 잠긴 데이터의 암호가 해독되는 것은 아닙니다. 진정한 복구는 안전하고, 오프라인 상태이며, 손상되지 않은 백업을 보유하는 데 달려 있습니다. 복구하기 전에 영향을 받은 시스템을 네트워크에서 분리하고, 최신 도구를 사용하여 전체 악성코드 검사를 수행하고, 신뢰성이 보장되지 않는 곳에서는 재구축하거나 리이미징하십시오. 복구된 시스템은 안전한지 확인한 후에만 다시 연결하십시오.

BASH 2.0이 야생으로 퍼지는 방식

공격자들은 광범위한 네트워크를 구축합니다. 랜섬웨어 캠페인과 관련되고 Bash 2.0과 관련된 일반적인 배포 경로는 다음과 같습니다.

• 스팸, 스피어피싱 또는 소셜 메시징 플랫폼을 통해 전달되는 악성 첨부 파일이나 링크.
• 합법적인 소프트웨어, 게임, 미디어 코덱 또는 생산성 도구인 것처럼 가장한 번들 또는 트로이 목마 형태의 설치 프로그램입니다.
• 손상되었거나 악성 사이트를 통해 발생하는 드라이브바이 다운로드는 종종 악성 광고를 통해 이루어집니다.
• 무결성 제어가 취약한 타사, 프리웨어 및 P2P 다운로드 채널입니다.
• 불법 소프트웨어 "크랙", 키젠, 그리고 은밀하게 페이로드를 전달하는 위조 활성화 유틸리티.
• 패치 대신 맬웨어를 설치하는 가짜 업데이트 메시지(브라우저, 플러그인, OS 또는 애플리케이션)

일부 위협 빌드는 측면 이동이나 자체 전파가 가능하여 로컬 네트워크를 통과하거나 USB 플래시 드라이브 및 외장 디스크와 같은 이동식 미디어에 자체를 복사하려고 시도합니다.

방어력을 강화하는 최고의 보안 관행

• 버전 관리, 오프라인 백업, 정기적인 테스트가 포함된 백업을 유지하십시오. 최소 하나의 백업 세트를 네트워크 외부에 저장하십시오(변경 불가능한 저장소 또는 한 번만 쓸 수 있는 미디어 권장).
• 운영 체제, 애플리케이션, 보안 제품군 및 펌웨어에 패치를 완벽하게 적용하세요. 가능한 경우 자동 업데이트를 활성화하세요.
• 행동 기반 랜섬웨어 탐지 및 롤백 기능을 갖춘 평판 좋은 안티 맬웨어/EDR 솔루션을 구축하세요.
• 피싱 위험을 줄이려면 이메일 필터링, 첨부 파일 샌드박싱, 링크 스캐닝 게이트웨이를 활용하세요. 사용자에게 스푸핑된 발신자와 예상치 못한 첨부 파일을 발견하도록 교육하세요.

마무리 생각

Bash 2.0 랜섬웨어는 위협 행위자가 기존 코드베이스를 얼마나 빠르게 새로운 협박 도구로 재편할 수 있는지를 보여줍니다. 시그니처 기반 탐지나 마지막 순간 대응에만 의존하는 방어자는 여전히 불리할 것입니다. 체계적인 백업 전략, 강력한 패치 관리, 계층화된 엔드포인트 및 이메일 방어, 최소 권한 설계, 그리고 숙련된 대응 플레이북을 결합하면 랜섬웨어 공격의 가능성과 그 영향을 크게 줄일 수 있습니다.