Bash 2.0-ransomware
Ransomware blijft een van de meest ontwrichtende bedreigingen voor individuen en organisaties. Eén succesvolle inbraak kan uw bestanden versleutelen, de bedrijfsvoering platleggen en gevoelige gegevens overleveren aan afpersers. Proactieve bescherming, gelaagde beveiligingsmaatregelen, waakzaamheid van gebruikers en betrouwbare back-ups zijn altijd goedkoper dan criminelen betalen (en uw gegevens nog steeds niet terugkrijgen). Bash 2.0 Ransomware, ook wel Bash Red genoemd, is een actuele herinnering dat opkomende families blijven voortbouwen op bewezen aanvalscode en tegelijkertijd hun druktactieken tegen slachtoffers blijven verfijnen.
Inhoudsopgave
ONTMOET BASH 2.0 (BASH RED)
Onderzoekers ontdekten Bash 2.0 tijdens het onderzoeken van nieuwe malware-activiteit. De dreiging is gebaseerd op de codebase van Chaos ransomware, een framework dat in meerdere spin-offs is hergebruikt. Door gebruik te maken van Chaos krijgen aanvallers een voorsprong: kernversleuteling, bestandsverwerking en routines voor losgeldberichten zijn al aanwezig en kunnen worden aangepast voor nieuwe campagnes. Bash 2.0 gebruikt deze overgenomen mogelijkheden om gegevens te vergrendelen en betalingen af te dwingen.
WAT GEBEURT ER MET UW BESTANDEN?
Zodra Bash 2.0 op een systeem draait, probeert het toegankelijke gegevens te versleutelen. Elk getroffen bestand krijgt een extra extensie bestaande uit vier willekeurige tekens, waardoor iets als '1.png' verandert in '1.png.2rf9' (het willekeurige achtervoegsel varieert per infectie). Deze hernoemingsconventie helpt aanvallers (en geautomatiseerde tools) te traceren wat er is vergrendeld en geeft slachtoffers direct een signaal dat hun gegevens niet langer bruikbaar zijn. De ransomware verandert ook de bureaubladachtergrond om de afpersingsboodschap visueel te versterken.
HET LOSPRIJSBERICHT: BASHRED-README.TXT
Na voltooiing van de versleuteling plaatst Bash 2.0 een tekstbericht met de naam 'bashred-reAdmE.txt'. Het bericht informeert het slachtoffer dat de bestanden versleuteld zijn en beweert dat de enige haalbare manier om te herstellen is door een unieke decoderingssleutel en software van de aanvallers te verkrijgen. Slachtoffers worden geïnstrueerd om contact op te nemen en te betalen; het bericht waarschuwt dat het hernoemen, wijzigen of proberen de vergrendelde gegevens zelfstandig te decoderen deze permanent kan beschadigen. De achtergrondwijziging weerspiegelt doorgaans dezelfde thema's, wat de urgentie verhoogt.
HOE REËEL IS DATAHERSTEL?
Bij de meeste ransomware-incidenten is decodering zonder medewerking van de aanvallers technisch onmogelijk, omdat de codering cryptografisch sterk is ontworpen. Slechts in zeldzame gevallen, meestal wanneer malware-auteurs ernstige implementatiefouten maken, is decodering mogelijk zonder hun betrokkenheid. Zelfs betaling is geen garantie: slachtoffers melden regelmatig dat ze nooit werkende tools hebben ontvangen, gedeeltelijke decryptors hebben ontvangen of corrupte sleutels hebben aangetroffen. Betalen financiert bovendien verdere criminele activiteiten, waardoor u mogelijk een terugkerend doelwit wordt. Om deze redenen raden beveiligingsprofessionals ten zeerste af om losgeld te eisen.
STOP DE BLOEDING: VERWIJDERING EN INSLUITING
Het verwijderen van Bash 2.0 uit een geïnfecteerde omgeving is essentieel om te voorkomen dat extra bestanden worden versleuteld en dat de dreiging zich verspreidt naar verbonden systemen. Het opschonen van de malware ontsleutelt echter niet reeds vergrendelde gegevens. Echt herstel is afhankelijk van veilige, offline en ongecompromitteerde back-ups. Isoleer vóór herstel de getroffen machines van het netwerk, voer een volledige malwarescan uit met bijgewerkte tools en bouw ze opnieuw op of re-image ze opnieuw wanneer vertrouwen niet gegarandeerd is. Sluit herstelde systemen pas weer aan nadat u hebt gecontroleerd of ze schoon zijn.
HOE BASH 2.0 ZICH IN HET WILD VERSPREIDT
Aanvallers gooien een breed net uit. Veelvoorkomende verspreidingsmethoden die verband houden met ransomwarecampagnes en relevant zijn voor Bash 2.0, zijn onder andere:
- Kwaadaardige bijlagen of links die via spam, spearfishing of sociale berichtenplatforms worden verspreid.
- Gebundelde of Trojaanse installatieprogramma's die zich voordoen als legitieme software, games, mediacodecs of productiviteitstools.
- Drive-by-downloads die worden uitgevoerd via gecompromitteerde of kwaadaardige sites, vaak bereikt via malvertising.
- Downloadkanalen van derden, freeware en peer-to-peerdownloads met zwakke integriteitscontroles.
- Illegale softwarecracks, keygens en namaak activeringsprogramma's die in stilte payloads leveren.
- Nep-updateprompts (voor browser, plug-in, besturingssysteem of toepassing) die malware installeren in plaats van patches.
Sommige bedreigingen kunnen zich lateraal verplaatsen of zichzelf verspreiden, waarbij ze proberen door lokale netwerken te navigeren of zichzelf te kopiëren naar verwisselbare media, zoals USB-sticks en externe schijven.
DE BESTE BEVEILIGINGSPRAKTIJKEN OM UW VERDEDIGING TE VERSTERKEN
- Zorg voor versiebeheer, offline en regelmatig geteste back-ups. Sla ten minste één back-upset buiten het netwerk op (bij voorkeur onveranderlijke opslag of eenmalig beschrijfbare media).
- Zorg ervoor dat besturingssystemen, applicaties, beveiligingssuites en firmware volledig gepatcht zijn. Schakel automatische updates in waar mogelijk.
- Implementeer betrouwbare anti-malware/EDR-oplossingen met gedragsdetectie van ransomware en terugdraaimogelijkheden.
- Gebruik e-mailfilters, sandboxing voor bijlagen en gateways voor het scannen van links om het risico op phishing te verkleinen. Train gebruikers in het herkennen van vervalste afzenders en onverwachte bijlagen.
SLOTGEDACHTEN
Bash 2.0 Ransomware illustreert hoe snel kwaadwillenden bestaande codebases kunnen omvormen tot nieuwe afpersingstools. Verdedigers die uitsluitend vertrouwen op handtekeninggebaseerde detectie of last-minutereacties blijven in het nadeel. Door gedisciplineerde back-upstrategieën, sterke patchhygiëne, gelaagde endpoint- en e-mailbeveiliging, ontwerp met minimale privileges en geoefende responshandboeken te combineren, verkleint u zowel de kans als de impact van een ransomware-incident aanzienlijk.
Berichten
De volgende berichten met betrekking tot Bash 2.0-ransomware zijn gevonden:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
