Bash 2.0 Fidye Yazılımı

Fidye yazılımları, bireylerin ve kuruluşların karşı karşıya olduğu en yıkıcı tehditlerden biri olmaya devam ediyor. Tek bir başarılı saldırı, dosyalarınızı altüst edebilir, iş operasyonlarınızı durdurabilir ve hassas verilerinizi gaspçıların insafına bırakabilir. Proaktif koruma, katmanlı güvenlik kontrolleri, kullanıcı farkındalığı ve güvenilir yedeklemeler, suçlulara para ödemekten (ve yine de verilerinizi geri alamamaktan) her zaman daha ucuza mal olacaktır. Bash Red olarak da bilinen Bash 2.0 Fidye Yazılımı, yeni ortaya çıkan ailelerin, kurbanlara karşı baskı taktiklerini geliştirirken kanıtlanmış saldırı kodlarını yinelemeye devam ettiklerini zamanında bir şekilde hatırlatıyor.

BASH 2.0 (BASH RED) İLE TANIŞIN

Araştırmacılar, yeni kötü amaçlı yazılım faaliyetlerini incelerken Bash 2.0'ı tespit etti. Tehdit, birçok yan üründe yeniden kullanılan bir çerçeve olan Chaos fidye yazılımı kod tabanına dayanıyor. Chaos'tan yararlanmak, saldırganlara avantaj sağlıyor: çekirdek şifreleme, dosya işleme ve fidye notu rutinleri zaten mevcut ve yeni saldırılar için özelleştirilebilir. Bash 2.0, verileri kilitlemek ve ödeme almak için bu devralınan yetenekleri kullanıyor.

DOSYALARINIZA NE OLUR?

Bash 2.0 bir sistemde çalıştırıldığında, erişilebilir verileri şifrelemeye çalışır. Etkilenen her dosya, dört rastgele karakterden oluşan ek bir uzantı alır ve '1.png' gibi bir uzantıyı '1.png.2rf9'a dönüştürür (rastgele son ek, enfeksiyona göre değişir). Bu yeniden adlandırma kuralı, saldırganların (ve otomatik araçların) neyin kilitlendiğini takip etmesine yardımcı olurken, kurbanlara verilerinin artık kullanılamaz olduğunu anında bildirir. Fidye yazılımı ayrıca, gasp mesajını görsel olarak güçlendirmek için masaüstü duvar kağıdını da değiştirir.

FİDYE MESAJI: BASHRED-README.TXT

Şifreleme tamamlandıktan sonra Bash 2.0, 'bashred-reAdmE.txt' adlı bir metin notu bırakır. Mesaj, kurbana dosyaların şifrelendiğini bildirir ve tek geçerli kurtarma yolunun saldırganlardan benzersiz bir şifre çözme anahtarı ve yazılım elde etmek olduğunu iddia eder. Kurbanlara iletişim kurmaları ve ödeme yapmaları söylenir; notta, kilitli verileri bağımsız olarak yeniden adlandırmanın, değiştirmenin veya şifresini çözmeye çalışmanın verileri kalıcı olarak bozabileceği konusunda uyarıda bulunulur. Duvar kağıdı değişikliği genellikle aynı temaları yansıtarak aciliyeti artırır.

VERİ KURTARMA NE KADAR GERÇEK?

Çoğu fidye yazılımı olayında, saldırganların iş birliği olmadan şifre çözme teknik olarak mümkün değildir çünkü şifreleme kriptografik olarak güçlü olacak şekilde tasarlanmıştır. Yalnızca nadir durumlarda, genellikle kötü amaçlı yazılım geliştiricileri ciddi uygulama hataları yaptığında, onların müdahalesi olmadan şifre çözme mümkündür. Ödeme bile bir garanti değildir: Kurbanlar, çalışan araçları hiç alamadıklarını, kısmi şifre çözücüler aldıklarını veya bozuk anahtarlarla karşılaştıklarını sıklıkla bildirmektedir. Ödeme yapmak ayrıca, daha fazla suç operasyonunun finansmanına da yol açarak sizi tekrar hedef haline getirebilir. Bu nedenlerden dolayı, güvenlik uzmanları fidye taleplerini karşılamayı kesinlikle önermemektedir.

KANAMANIN DURDURULMASI: ÇIKARILMASI VE ENGELLENDİRİLMESİ

Bash 2.0'ı enfekte olmuş bir ortamdan kaldırmak, ek dosyaların şifrelenmesini ve tehdidin bağlı sistemlere yayılmasını önlemek için çok önemlidir. Ancak, kötü amaçlı yazılımı temizlemek, zaten kilitlenmiş verilerin şifresini çözmez. Gerçek bir geri yükleme, güvenli, çevrimdışı ve güvenliği ihlal edilmemiş yedeklere sahip olmaya bağlıdır. Kurtarma işleminden önce, etkilenen makineleri ağdan ayırın, güncellenmiş araçlarla tam bir kötü amaçlı yazılım taraması gerçekleştirin ve güvenin sağlanamadığı durumlarda yeniden yapılandırma veya imaj oluşturma işlemi gerçekleştirin. Geri yüklenen sistemleri yalnızca temiz olduklarını doğruladıktan sonra yeniden bağlayın.

BASH 2.0 DOĞADA NASIL YAYILIYOR?

Saldırganlar geniş bir ağ kuruyor. Fidye yazılımı kampanyalarıyla bağlantılı ve Bash 2.0 ile ilgili yaygın dağıtım vektörleri şunlardır:

• Spam, hedefli kimlik avı veya sosyal mesajlaşma platformları aracılığıyla iletilen kötü amaçlı ekler veya bağlantılar.
• Yasal yazılım, oyun, medya kodekleri veya üretkenlik araçları gibi görünen paketlenmiş veya truva atı haline getirilmiş yükleyiciler.
• Genellikle kötü amaçlı reklamlar aracılığıyla erişilen, tehlikeye atılmış veya kötü amaçlı siteler aracılığıyla tetiklenen geçici indirmeler.
• Zayıf bütünlük denetimlerine sahip üçüncü taraf, ücretsiz yazılım ve eşler arası indirme kanalları.
• Yasadışı yazılım "kırmaları", anahtar üreteçleri ve sessizce yükleri ileten sahte aktivasyon yardımcı programları.
• Yama yerine kötü amaçlı yazılım yükleyen sahte güncelleme istemleri (tarayıcı, eklenti, işletim sistemi veya uygulama).

Bazı tehdit yapıları yanal hareket etme veya kendi kendine yayılma yeteneğine sahiptir; yerel ağları geçmeye veya kendilerini USB flash sürücüler ve harici diskler gibi çıkarılabilir ortamlara kopyalamaya çalışırlar.

SAVUNMANIZI GÜÇLENDİRMEK İÇİN EN İYİ GÜVENLİK UYGULAMALARI

• Sürümleri kontrol edilmiş, çevrimdışı ve düzenli olarak test edilmiş yedekler tutun. En az bir yedekleme kümesini ağ dışında saklayın (değiştirilemez depolama veya bir kez yazılabilen ortamlar tercih edilir).
• İşletim sistemlerinizi, uygulamalarınızı, güvenlik paketlerinizi ve donanım yazılımlarınızı eksiksiz bir şekilde güncel tutun. Mümkün olduğunda otomatik güncellemeleri etkinleştirin.
• Davranışsal fidye yazılımı algılama ve geri alma yeteneklerine sahip saygın kötü amaçlı yazılım önleme/EDR çözümlerini dağıtın.
• Kimlik avı riskini azaltmak için e-posta filtreleme, ek koruma alanı ve bağlantı tarama ağ geçitlerini kullanın; kullanıcıları sahte göndericileri ve beklenmeyen ekleri tespit etmeleri konusunda eğitin.

• Belge biçimlerinde makroları ve etkin içeriği devre dışı bırakın veya kısıtlayın; istenmeyen belgeleri korumalı görünümde açın.

• En az ayrıcalıklı kullanıcı hesaplarıyla çalışın; özel, güvenli oturumlar için yönetim kimlik bilgilerini ayırın.

• Ağları bölümlere ayırın ve tek bir tehlikeye maruz kalan uç noktanın tüm kritik paylaşımlara ulaşmasını engelleyecek şekilde erişim kontrollerini uygulayın.

• Uzaktan erişim, ayrıcalıklı eylemler ve yedekleme yönetim konsolları için çok faktörlü kimlik doğrulamayı zorunlu kılın.

• Çıkarılabilir ortamlarda otomatik çalıştırma/otomatik oynatmayı devre dışı bırakın; üretim sistemlerine bağlamadan önce harici sürücüleri tarayın.

SON DÜŞÜNCELER

Bash 2.0 Fidye Yazılımı, tehdit aktörlerinin mevcut kod tabanlarını ne kadar hızlı bir şekilde yeni gasp araçlarına dönüştürebileceğini gösteriyor. Yalnızca imza tabanlı tespit veya son dakika müdahalesine güvenen savunmacılar dezavantajlı olmaya devam edecek. Disiplinli yedekleme stratejileri, güçlü yama hijyeni, katmanlı uç nokta ve e-posta savunmaları, en düşük ayrıcalıklı tasarım ve deneyimli müdahale kılavuzlarını birleştirerek, bir fidye yazılımı olayının hem olasılığını hem de etkisini önemli ölçüde azaltabilirsiniz.