Bash 2.0 Ransomware

Ransomware är fortfarande ett av de mest störande hoten mot individer och organisationer. Ett enda lyckat intrång kan förstöra dina filer, stoppa affärsverksamheten och utsätta känsliga uppgifter för utpressare. Proaktivt skydd, säkerhetskontroller i flera lager, användarvaksamhet och tillförlitliga säkerhetskopior kommer alltid att kosta mindre än att betala brottslingar (och ändå inte få tillbaka dina data). Bash 2.0 Ransomware, även känt som Bash Red, är en aktuell påminnelse om att nya familjer fortsätter att iterera med beprövad attackkod samtidigt som de förfinar sina påtryckningstaktik mot offer.

MÖT BASH 2.0 (BASH RED)

Forskare identifierade Bash 2.0 när de kartlade ny aktivitet inom skadlig kod. Hotet bygger på Chaos ransomware-kodbas, ett ramverk som har återanvänts i flera spin-offs. Att utnyttja Chaos ger angripare ett försprång: kärnkryptering, filhantering och rutiner för lösensummor finns redan och kan anpassas för nya kampanjer. Bash 2.0 använder dessa ärvda funktioner för att låsa data och utpressa betalning.

VAD HÄNDER MED DINA FILER

När Bash 2.0 körs på ett system försöker det kryptera tillgängliga data. Varje drabbad fil får ett extra tillägg bestående av fyra slumpmässiga tecken, vilket omvandlar något i stil med '1.png' till '1.png.2rf9' (det slumpmässiga suffixet varierar beroende på infektion). Denna namnbyteskonvention hjälper angriparna (och automatiserade verktyg) att spåra vad som har låsts samtidigt som den omedelbart signalerar till offren att deras data inte längre är användbara. Ransomware ändrar också skrivbordsunderlägget för att visuellt förstärka utpressningsmeddelandet.

LÖSENBUDET: BASHRED-README.TXT

Efter att krypteringen är klar publicerar Bash 2.0 en textnotering med namnet "bashred-reAdmE.txt". Meddelandet informerar offret om att filerna är krypterade och påstår att den enda gångbara återställningsvägen är att få en unik dekrypteringsnyckel och programvara från angriparna. Offren instrueras att upprätta kontakt och betala; noteringen varnar för att namnbyte, ändring eller försök att dekryptera den låsta informationen separat kan skada den permanent. Bakgrundsändringen återspeglar vanligtvis samma teman, vilket ökar brådskan.

HUR VERKLIG ÄR DATAÅTERSTÄLLNING?

I de flesta ransomware-incidenter är dekryptering utan angriparnas samarbete tekniskt omöjligt eftersom krypteringen är utformad för att vara kryptografiskt stark. Endast i sällsynta fall, vanligtvis när skapare av skadlig kod gör allvarliga implementeringsmisstag, är dekryptering möjlig utan deras inblandning. Inte ens betalning är någon garanti: offer rapporterar regelbundet att de aldrig får fungerande verktyg, får delvisa dekrypteringsverktyg eller stöter på korrupta nycklar. Att betala finansierar också ytterligare kriminell verksamhet, vilket potentiellt kan göra dig till ett återkommande mål. Av dessa skäl avråder säkerhetsexperter starkt från att uppfylla lösensumman.

STOPPA BLÖDNINGEN: AVLÄGGNING OCH INSTÄLLNING

Att eliminera Bash 2.0 från en infekterad miljö är avgörande för att förhindra att ytterligare filer krypteras och för att förhindra att hotet sprids till anslutna system. Rengöring av skadlig kod dekrypterar dock inte redan låsta data. Sann återställning är beroende av att ha säkra, offline och okomprometterade säkerhetskopior. Innan återställning, isolera berörda maskiner från nätverket, utför en fullständig skanning efter skadlig kod med uppdaterade verktyg och återuppbygg eller återskapa avbildningar där förtroendet inte kan garanteras. Återanslut endast återställda system efter att ha verifierat att de är rena.

HUR BASH 2.0 SPRIDS I VILDA OMSTÄNDIGHETER

Angripare kastar ut ett brett nät. Vanliga spridningsvektorer kopplade till ransomware-kampanjer, och relevanta för Bash 2.0, inkluderar:

• Skadliga bilagor eller länkar som levereras via skräppost, spear-phishing eller sociala meddelandeplattformar.
• Medföljande eller trojanerade installationsprogram som utger sig för att vara legitim programvara, spel, mediekodekar eller produktivitetsverktyg.
• Drive-by-nedladdningar utlösta via komprometterade eller skadliga webbplatser, ofta nådda via skadlig annonsering.
• Nedladdningskanaler från tredje part, gratisprogram och peer-to-peer-program med svaga integritetskontroller.
• Olagliga programvaru-"crack", keygens och förfalskade aktiveringsverktyg som tyst levererar nyttolaster.
• Falska uppdateringsmeddelanden (webbläsare, plugin, operativsystem eller program) som installerar skadlig programvara istället för patchar.

Vissa hotversioner kan förflytta sig i sidled eller självsprida sig, och försöka ta sig över lokala nätverk eller kopiera sig själva till flyttbara medier som USB-minnen och externa hårddiskar.

BÄSTA SÄKERHETSPRAXIS FÖR ATT STÄRKA DITT FÖRSVAR

• Underhåll versionsbaserade, offline och regelbundet testade säkerhetskopior. Lagra minst en säkerhetskopia utanför nätverket (oföränderlig lagring eller media som kan skrivas en gång föredras).
• Håll operativsystem, program, säkerhetspaket och firmware helt uppdaterade. Aktivera automatiska uppdateringar där det är praktiskt möjligt.
• Implementera välrenommerade lösningar för att förhindra skadlig kod/EDR med funktioner för att upptäcka beteendemässig ransomware och återställa skyddet.
• Använd e-postfiltrering, sandboxing av bilagor och länkskanningsgateways för att minska risken för nätfiske; utbilda användare i att upptäcka förfalskade avsändare och oväntade bilagor.

AVSLUTANDE TANKAR

Bash 2.0 Ransomware illustrerar hur snabbt hotaktörer kan återanvända befintliga kodbaser till nya utpressningsverktyg. Skyddare som enbart förlitar sig på signaturbaserad detektering eller reaktioner i sista minuten kommer att förbli i en nackdel. Genom att kombinera disciplinerade säkerhetskopieringsstrategier, stark patchhygien, lagerbaserade slutpunkts- och e-postförsvar, design med minsta behörighet och vältränade responsplaner minskar du dramatiskt både sannolikheten för och effekten av en ransomware-händelse.