Програма-вимагач Bash 2.0

Програма-вимагач залишається однією з найбільш руйнівних загроз, з якими стикаються окремі особи та організації. Одне успішне вторгнення може пошкодити ваші файли, зупинити бізнес-операції та віддати конфіденційні дані на розсуд вимагачів. Проактивний захист, багаторівневі засоби контролю безпеки, пильність користувачів та надійне резервне копіювання завжди коштуватимуть менше, ніж платити злочинцям (і все одно не отримувати свої дані назад). Програма-вимагач Bash 2.0, яку також відзначають як Bash Red, є своєчасним нагадуванням про те, що нові сім'ї продовжують використовувати перевірений код атаки, одночасно вдосконалюючи свою тактику тиску на жертв.

ЗУСТРІЧАЙТЕ BASH 2.0 (BASH RED)

Дослідники виявили Bash 2.0 під час дослідження активності нових шкідливих програм. Загроза побудована на кодовій базі програми-вимагача Chaos, фреймворку, який був повторно використаний у кількох спін-оффах. Використання Chaos дає зловмисникам фору: ядро шифрування, обробка файлів та процедури отримання записок про викуп вже присутні та можуть бути налаштовані для нових кампаній. Bash 2.0 використовує ці успадковані можливості для блокування даних та вимагання платежів.

ЩО ВІДБУВАЄТЬСЯ З ВАШИМИ ФАЙЛАМИ

Після запуску Bash 2.0 у системі він намагається зашифрувати доступні дані. Кожен уражений файл отримує додаткове розширення, що складається з чотирьох випадкових символів, перетворюючи щось на кшталт «1.png» на «1.png.2rf9» (випадковий суфікс залежить від зараження). Така схема перейменування допомагає зловмисникам (та автоматизованим інструментам) відстежувати, що було заблоковано, миттєво сигналізуючи жертвам, що їхні дані більше не можна використовувати. Програма-вимагач також змінює шпалери робочого столу, щоб візуально підкреслити повідомлення про вимагання.

ПОВІДОМЛЕННЯ ПРО ВИКУП: BASHRED-README.TXT

Після завершення шифрування Bash 2.0 надсилає текстове повідомлення під назвою «bashred-reAdmE.txt». У повідомленні жертві повідомляється, що файли зашифровані, і стверджується, що єдиний життєздатний шлях відновлення — отримати унікальний ключ розшифрування та програмне забезпечення від зловмисників. Жертвам наказують встановити контакт і сплатити; у повідомленні попереджається, що перейменування, зміна або спроба самостійно розшифрувати заблоковані дані може призвести до їх безповоротного пошкодження. Зміна шпалер зазвичай повторює ті ж теми, що підвищує терміновість.

НАСКОЛЬКИ РЕАЛЬНЕ ВІДНОВЛЕННЯ ДАНИХ?

У більшості випадків за участю програм-вимагачів розшифрування без співпраці зловмисників технічно неможливе, оскільки шифрування розроблено криптографічно стійким. Лише в рідкісних випадках, зазвичай коли автори шкідливих програм допускають серйозні помилки в реалізації, розшифрування можливе без їхньої участі. Навіть оплата не є гарантією: жертви регулярно повідомляють, що ніколи не отримують робочих інструментів, отримують часткові дешифратори або стикаються з пошкодженими ключами. Оплата також фінансує подальші злочинні операції, що потенційно робить вас повторною мішенню. З цих причин фахівці з безпеки наполегливо не рекомендують задовольняти вимоги викупу.

ЗУПИНКА КРОВОТЕЧІ: ВИДАЛЕННЯ ТА ЛОКАЦІЯ

Видалення Bash 2.0 із зараженого середовища є важливим для запобігання шифруванню додаткових файлів та поширенню загрози на підключені системи. Однак очищення від шкідливого програмного забезпечення не розшифровує вже заблоковані дані. Справжнє відновлення залежить від наявності безпечних, офлайн-резервних копій без компрометації. Перед відновленням ізолюйте уражені машини від мережі, виконайте повне сканування на наявність шкідливого програмного забезпечення за допомогою оновлених інструментів та перебудуйте систему або створіть образ системи там, де довіра не може бути гарантована. Підключайте відновлені системи лише після перевірки їхньої чистоти.

ЯК BASH 2.0 ПОШИРЮЄТЬСЯ В ПРИРОДІ

Зловмисники використовують широку мережу. До поширених векторів розповсюдження, пов'язаних з кампаніями програм-вимагачів, які мають відношення до Bash 2.0, належать:

• Шкідливі вкладення або посилання, що надсилаються через спам, фішинг або платформи соціальних мереж.
• Пакетні або троянські інсталятори, що видають себе за легітимне програмне забезпечення, ігри, медіакодеки або інструменти для підвищення продуктивності.
• Автоматичні завантаження, що ініціюються через скомпрометовані або шкідливі сайти, часто потрапляючи до них через шкідливу рекламу.
• Сторонні, безкоштовні та однорангові канали завантаження зі слабким контролем цілісності.
• Нелегальні програмні "крeки", кейгени та підроблені утиліти активації, які непомітно доставляють корисні навантаження.
• Фальшиві запити на оновлення (браузера, плагіна, ОС чи програми), які встановлюють шкідливе програмне забезпечення замість патчів.

Деякі збірки загроз здатні до горизонтального переміщення або самопоширення, намагаючись перетинати локальні мережі або копіювати себе на знімні носії, такі як USB-флеш-накопичувачі та зовнішні диски.

НАЙКРАЩІ ПРАКТИКИ БЕЗПЕКИ ДЛЯ ПІДСИЛЕННЯ ВАШОГО ЗАХИСТУ

• Зберігайте резервні копії з версіями, в автономному режимі та регулярно тестуйте їх. Зберігайте принаймні один набір резервних копій поза мережею (бажано використовувати незмінне сховище або носій для одноразового запису).
• Забезпечте повне оновлення операційних систем, програм, пакетів безпеки та прошивки. Увімкніть автоматичні оновлення, де це можливо.
• Розгорніть надійні рішення для захисту від шкідливих програм/EDR з функціями виявлення поведінкових програм-вимагачів та відкату.
• Використовуйте фільтрацію електронної пошти, пісочницю вкладень та шлюзи сканування посилань, щоб зменшити ризик фішингу; навчіть користувачів розпізнавати підроблених відправників та неочікувані вкладення.

• Вимкнути або обмежити макроси та активний вміст у форматах документів; відкрити небажані документи в захищеному режимі.

• Працюйте з обліковими записами користувачів з найменшими правами; зарезервуйте адміністративні облікові дані для виділених, захищених сеансів.

• Сегментуйте мережі та забезпечте контроль доступу, щоб одна скомпрометована кінцева точка не могла отримати доступ до всіх критично важливих спільних ресурсів.

• Вимагати багатофакторну автентифікацію для віддаленого доступу, привілейованих дій та резервних консолей адміністрування.

• Вимкнути автозапуск/автоматичне відтворення на знімних носіях; сканувати зовнішні диски перед монтуванням до робочих систем.

ЗАКЛЮЧНІ ДУМКИ

Програма-вимагач Bash 2.0 ілюструє, як швидко зловмисники можуть перепрофілювати існуючі кодові бази на нові інструменти вимагання. Захисники, які покладаються виключно на виявлення на основі сигнатур або реагування в останню хвилину, залишаться у невигідному становищі. Поєднуючи дисципліновані стратегії резервного копіювання, надійну гігієну виправлень, багаторівневий захист кінцевих точок та електронної пошти, дизайн з найменшими привілеями та відпрацьовані схеми реагування, ви значно знижуєте як ймовірність, так і вплив події, пов’язаної з програмою-вимагачем.