Ransomware-ul Bash 2.0

Ransomware-ul rămâne una dintre cele mai disruptive amenințări cu care se confruntă indivizii și organizațiile. O singură intruziune reușită poate distruge fișierele, poate opri operațiunile afacerii și poate pune datele sensibile la mila extorcatorilor. Protecția proactivă, controalele de securitate stratificate, vigilența utilizatorilor și copiile de rezervă fiabile vor costa întotdeauna mai puțin decât plata infractorilor (și totuși să nu vă recuperați datele). Bash 2.0 Ransomware, denumit și Bash Red, este o reamintire oportună a faptului că familiile emergente continuă să iterateze pe baza unui cod de atac dovedit, în timp ce își rafinează tacticile de presiune împotriva victimelor.

FACEȚI CUNOȘTINȚĂ BASH 2.0 (BASH RED)

Cercetătorii au identificat Bash 2.0 în timp ce studiau noua activitate a programelor malware. Amenințarea este construită pe baza de cod Chaos ransomware, un framework care a fost reutilizat în mai multe spin-off-uri. Valorificarea Chaos oferă atacatorilor un avantaj: criptarea de bază, gestionarea fișierelor și rutinele de recompensă sunt deja prezente și pot fi personalizate pentru noile campanii. Bash 2.0 folosește aceste capabilități moștenite pentru a bloca date și a extorca plăți.

CE SE ÎNTÂMPLĂ CU FIȘIERELE DUMNEAVOASTRĂ

Odată ce Bash 2.0 se execută pe un sistem, acesta încearcă să cripteze datele accesibile. Fiecare fișier afectat primește o extensie suplimentară formată din patru caractere aleatorii, transformând ceva de genul „1.png” în „1.png.2rf9” (sufixul aleatoriu variază în funcție de infecție). Această convenție de redenumire îi ajută pe atacatori (și instrumentele automate) să urmărească ce a fost blocat, semnalând instantaneu victimelor că datele lor nu mai pot fi utilizate. Ransomware-ul modifică, de asemenea, imaginea de fundal a desktopului pentru a consolida vizual mesajul de extorcare.

MESAJUL DE RĂSCUMPĂRARE: BASHRED-README.TXT

După finalizarea criptării, Bash 2.0 trimite o notă text numită „bashred-reAdmE.txt”. Mesajul informează victima că fișierele sunt criptate și susține că singura cale viabilă de recuperare este obținerea unei chei de decriptare unice și a unui software de la atacatori. Victimele sunt instruite să ia legătura și să plătească; nota avertizează că redenumirea, modificarea sau încercarea de decriptare independentă a datelor blocate le-ar putea corupe permanent. Schimbarea imaginii de fundal repetă de obicei aceleași teme, sporind urgența.

CÂT DE REALĂ ESTE RECUPERAREA DATELOR?

În majoritatea incidentelor de ransomware, decriptarea fără cooperarea atacatorilor este imposibilă din punct de vedere tehnic, deoarece criptarea este concepută pentru a fi puternică din punct de vedere criptografic. Doar în cazuri rare, de obicei când autorii de programe malware fac greșeli grave de implementare, decriptarea este posibilă fără implicarea lor. Nici măcar plata nu este o garanție: victimele raportează în mod regulat că nu primesc niciodată instrumente funcționale, primesc decriptori parțiali sau întâlnesc chei corupte. Plata finanțează, de asemenea, alte operațiuni criminale, ceea ce vă poate transforma într-o țintă recurentă. Din aceste motive, profesioniștii în domeniul securității descurajează insistent îndeplinirea cererilor de răscumpărare.

OPRIȚI SÂNGERAREA: ÎNDEPĂRTAREA ȘI IMPACTUL

Eliminarea Bash 2.0 dintr-un mediu infectat este esențială pentru a opri criptarea fișierelor suplimentare și pentru a preveni răspândirea amenințării la sistemele conectate. Cu toate acestea, curățarea malware-ului nu decriptează datele deja blocate. O restaurare adevărată depinde de existența unor copii de rezervă sigure, offline și necompromise. Înainte de recuperare, izolați mașinile afectate de rețea, efectuați o scanare completă a malware-ului cu instrumente actualizate și reconstruiți sau creați o nouă imagine a acestora acolo unde nu se poate asigura încrederea. Reconectați sistemele restaurate doar după ce verificați că sunt curate.

CUM SE RĂSPÂNDEȘTE BASH 2.0 ÎN SĂLBĂTICIE

Atacatorii aruncă o plasă largă. Vectorii comuni de distribuție legați de campaniile ransomware și relevanți pentru Bash 2.0 includ:

• Atașamente sau linkuri rău intenționate livrate prin spam, spear-phishing sau platforme de mesagerie socială.
• Programe de instalare incluse în pachet sau cu troieni care se prezintă drept software, jocuri, codecuri media sau instrumente de productivitate legitime.
• Descărcări automate declanșate prin intermediul unor site-uri compromise sau rău intenționate, adesea accesate prin publicitate malicioasă.
• Canale de descărcare terțe, freeware și peer-to-peer cu controale slabe de integritate.
• „Crack-uri” de software ilegal, keygen-uri și utilitare de activare contrafăcute care livrează în mod silențios sarcini utile.
• Solicitări false de actualizare (browser, plugin, sistem de operare sau aplicație) care instalează programe malware în loc de patch-uri.

Unele configurații de amenințări sunt capabile de mișcare laterală sau autopropagare, încercând să traverseze rețelele locale sau să se copieze pe suporturi amovibile, cum ar fi unități flash USB și discuri externe.

CELE MAI BUNE PRACTICI DE SECURITATE PENTRU A VĂ ÎMBUNĂTĂȚI APĂRAREA

• Mențineți copii de rezervă versionate, offline și testate periodic. Stocați cel puțin un set de copii de rezervă în afara rețelei (de preferință stocare imuabilă sau suport de stocare inscripționabil o singură dată).
• Mențineți sistemele de operare, aplicațiile, suitele de securitate și firmware-ul complet actualizate. Activați actualizările automate acolo unde este posibil.
• Implementați soluții anti-malware/EDR de renume, cu funcții de detectare și anulare a ransomware-ului comportamental.
• Folosiți filtrarea e-mailurilor, sandboxing-ul atașamentelor și gateway-urile de scanare a linkurilor pentru a reduce riscul de phishing; instruiți utilizatorii să identifice expeditorii falși și atașamentele neașteptate.

• Dezactivați sau restricționați macrocomenzile și conținutul activ în formatele de documente; deschideți documente nesolicitate în vizualizare protejată.

• Operați cu conturi de utilizator cu privilegii minime; rezervați acreditări administrative pentru sesiuni dedicate și securizate.

• Segmentați rețelele și aplicați controale de acces astfel încât un singur endpoint compromis să nu poată ajunge la toate partajările critice.

• Solicitați autentificare multifactor pentru acces la distanță, acțiuni privilegiate și console de administrare a copiilor de rezervă.

• Dezactivați rularea/redarea automată pe suporturile amovibile; scanați unitățile externe înainte de montarea pe sistemele de producție.

GÂNDURI DE ÎNCHEIERE

Ransomware-ul Bash 2.0 ilustrează cât de repede pot actorii amenințători să reutilizeze bazele de cod existente în noi instrumente de extorcare. Apărătorii care se bazează exclusiv pe detectarea bazată pe semnături sau pe reacția de ultim moment vor rămâne dezavantajați. Prin combinarea strategiilor de backup disciplinate, a igienei puternice a patch-urilor, a apărării stratificate împotriva endpoint-urilor și a e-mailurilor, a designului cu privilegii minime și a unor strategii de răspuns practice, reduceți dramatic atât probabilitatea, cât și impactul unui eveniment ransomware.