Bash 2.0 Ransomware

Løsepengevirus er fortsatt en av de mest forstyrrende truslene enkeltpersoner og organisasjoner står overfor. Et enkelt vellykket innbrudd kan ødelegge filene dine, stoppe forretningsdriften og sette sensitive data i utpressernes nåde. Proaktiv beskyttelse, lagdelte sikkerhetskontroller, brukerovervåkning og pålitelige sikkerhetskopier vil alltid koste mindre enn å betale kriminelle (og fortsatt ikke få dataene dine tilbake). Bash 2.0 Ransomware, også kjent som Bash Red, er en betimelig påminnelse om at nye familier fortsetter å iterere på velprøvd angrepskode mens de forbedrer presstaktikken sin mot ofrene.

MØT BASH 2.0 (BASH RED)

Forskere identifiserte Bash 2.0 mens de kartla ny aktivitet knyttet til skadelig programvare. Trusselen er bygget på Chaos ransomware-kodebasen, et rammeverk som har blitt gjenbrukt i flere spin-off-programmer. Å utnytte Chaos gir angripere et forsprang: kjernekryptering, filhåndtering og rutiner for løsepenger er allerede til stede og kan tilpasses for nye kampanjer. Bash 2.0 bruker disse arvede funksjonene til å låse data og presse ut betaling.

HVA SKJER MED FILENE DINE

Når Bash 2.0 kjøres på et system, prøver det å kryptere tilgjengelige data. Hver berørte fil får en ekstra filendelse bestående av fire tilfeldige tegn, som gjør noe sånt som '1.png' om til '1.png.2rf9' (det tilfeldige suffikset varierer per infeksjon). Denne navnekonvensjonen hjelper angriperne (og automatiserte verktøy) med å spore hva som har blitt låst, samtidig som den umiddelbart signaliserer til ofrene at dataene deres ikke lenger er brukbare. Ransomware endrer også skrivebordsbakgrunnen for å forsterke utpressingsmeldingen visuelt.

LØSEBESKJEDET: BASHRED-README.TXT

Etter at krypteringen er fullført, slipper Bash 2.0 en tekstmelding kalt «bashred-reAdmE.txt». Meldingen informerer offeret om at filene er kryptert, og hevder at den eneste gjenopprettingsveien er å få tak i en unik dekrypteringsnøkkel og programvare fra angriperne. Ofrene blir bedt om å opprette kontakt og betale; meldingen advarer om at det å gi nytt navn til, endre eller forsøke å dekryptere de låste dataene uavhengig kan ødelegge dem permanent. Bakgrunnsendringen gjenspeiler vanligvis de samme temaene, noe som øker hastverket.

HVOR REELL ER DATAGJENOPPRETTING?

I de fleste tilfeller av løsepengevirus er dekryptering uten angripernes samarbeid teknisk umulig fordi krypteringen er utformet for å være kryptografisk sterk. Bare i sjeldne tilfeller, vanligvis når skadevareutviklere gjør alvorlige implementeringsfeil, er dekryptering mulig uten deres involvering. Selv betaling er ingen garanti: ofre rapporterer jevnlig at de aldri mottar fungerende verktøy, mottar delvise dekrypteringsprogrammer eller støter på korrupte nøkler. Betaling finansierer også ytterligere kriminelle operasjoner, noe som potensielt kan gjøre deg til et gjentatt mål. Av disse grunnene fraråder sikkerhetseksperter på det sterkeste å oppfylle krav om løsepenger.

STOPP BLØDNINGEN: FJERNING OG INNEHOLDNING

Det er viktig å fjerne Bash 2.0 fra et infisert miljø for å hindre at flere filer krypteres og for å forhindre at trusselen sprer seg til tilkoblede systemer. Rensning av skadelig programvare dekrypterer imidlertid ikke allerede låste data. Ekte gjenoppretting avhenger av å ha sikre, frakoblede og ukompromitterte sikkerhetskopier. Før gjenoppretting, isoler berørte maskiner fra nettverket, utfør en fullstendig skanning etter skadelig programvare med oppdaterte verktøy, og gjenoppbygg eller reimage der tillit ikke kan garanteres. Koble kun til gjenopprettede systemer på nytt etter at du har bekreftet at de er rene.

HVORDAN BASH 2.0 SPRER SEG I VILLMARKEN

Angripere kaster et bredt nett. Vanlige distribusjonsvektorer knyttet til ransomware-kampanjer, og relevante for Bash 2.0, inkluderer:

• Ondsinnede vedlegg eller lenker levert via spam, spear-phishing eller sosiale meldingsplattformer.
• Medfølgende eller trojaniserte installasjonsprogrammer som utgir seg for å være legitim programvare, spill, mediekodeker eller produktivitetsverktøy.
• Drive-by-nedlastinger utløst via kompromitterte eller ondsinnede nettsteder, ofte nådd via skadelig annonsering.
• Tredjeparts-, freeware- og peer-to-peer-nedlastingskanaler med svake integritetskontroller.
• Ulovlige programvare-"sprekker", keygens og forfalskede aktiveringsverktøy som leverer nyttelast i stillhet.
• Falske oppdateringsmeldinger (nettleser, plugin, operativsystem eller program) som installerer skadelig programvare i stedet for oppdateringer.

Noen trusselversjoner er i stand til å bevege seg sidelengs eller selvforplante seg, og forsøke å krysse lokale nettverk eller kopiere seg selv til flyttbare medier som USB-minnepinner og eksterne disker.

BESTE SIKKERHETSPRAKSIS FOR Å STYRKE FORSVARET DITT

• Oppretthold versjonerte, offline og regelmessig testede sikkerhetskopier. Lagre minst ett sikkerhetskopisett utenfor nettverket (uforanderlig lagring eller éngangsskrivbart medium foretrukket).
• Hold operativsystemer, applikasjoner, sikkerhetspakker og fastvare fullstendig oppdatert. Aktiver automatiske oppdateringer der det er praktisk.
• Implementer anerkjente anti-malware/EDR-løsninger med funksjoner for deteksjon av atferdsmessig ransomware og tilbakestilling.
• Bruk e-postfiltrering, sandkasse for vedlegg og gatewayer for lenkeskanning for å redusere risikoen for phishing; lær brukere opp til å oppdage forfalskede avsendere og uventede vedlegg.

AVSLUTTENDE TANKER

Bash 2.0 Ransomware illustrerer hvor raskt trusselaktører kan ombruke eksisterende kodebaser til nye utpressingsverktøy. Forsvarere som utelukkende er avhengige av signaturbasert deteksjon eller reaksjon i siste liten, vil forbli i en ulempe. Ved å kombinere disiplinerte sikkerhetskopieringsstrategier, sterk patchhygiene, lagdelt endepunkt- og e-postforsvar, design med minst mulig rettigheter og praktiserte responsplaner, reduserer du dramatisk både sannsynligheten for og virkningen av en ransomware-hendelse.