Bash 2.0 ランサムウェア

ランサムウェアは、個人や組織が直面する最も破壊的な脅威の一つであり続けています。一度侵入に成功すると、ファイルが暗号化され、業務が停止し、機密データが恐喝犯の手に渡る可能性があります。プロアクティブな保護、多層的なセキュリティ対策、ユーザーの警戒、そして信頼性の高いバックアップは、犯罪者に身代金を支払う（それでもデータが取り戻せない）よりも、常にコストを抑えられます。Bash 2.0ランサムウェア（Bash Redとも呼ばれる）は、新興のサイバー犯罪集団が、実績のある攻撃コードを改良し続け、被害者への圧力戦術を洗練させていることを改めて認識させてくれます。

BASH 2.0（BASH RED）に出会う

研究者たちは、新たなマルウェアの活動を調査する中で、Bash 2.0を特定しました。この脅威は、複数の派生型ランサムウェアで再利用されているフレームワークであるChaosランサムウェアのコードベース上に構築されています。Chaosを活用することで、攻撃者は優位なスタートを切ることができます。コアとなる暗号化、ファイル処理、身代金要求のルーチンは既に存在しており、新しい攻撃に合わせてカスタマイズすることが可能です。Bash 2.0は、これらの継承された機能を利用してデータをロックし、身代金を要求します。

あなたのファイルはどうなるのか

Bash 2.0はシステム上で実行されると、アクセス可能なデータを暗号化しようとします。感染したファイルには、ランダムな4文字からなる拡張子が付与されます。例えば、「1.png」は「1.png.2rf9」のように変換されます（ランダムな拡張子は感染ごとに異なります）。この改名規則により、攻撃者（および自動化ツール）はロックされたファイルを追跡できると同時に、被害者にデータが使用できなくなったことを即座に知らせることができます。このランサムウェアは、脅迫メッセージを視覚的に強調するために、デスクトップの壁紙も変更します。

身代金メッセージ: BASHRED-README.TXT

Bash 2.0は暗号化を完了すると、「bashred-reAdmE.txt」というテキストメモをドロップします。このメッセージは、ファイルが暗号化されたことを被害者に通知し、唯一の復旧方法は攻撃者から固有の復号鍵とソフトウェアを入手することであると主張します。被害者は連絡を取り、身代金を支払うよう指示されます。メモには、ロックされたデータの名前変更、修正、または単独での復号を試みた場合、データが永久に破損する可能性があると警告されています。壁紙の変更も通常、同じテーマを繰り返し、緊急性を高めています。

データ復旧はどの程度現実的ですか?

ほとんどのランサムウェアインシデントでは、暗号化が暗号学的に強固に設計されているため、攻撃者の協力なしに復号することは技術的に不可能です。マルウェア作成者が重大な実装ミスを犯した場合など、ごくまれなケースにおいてのみ、攻撃者の関与なしに復号が可能です。身代金を支払ったとしても、それが保証されるわけではありません。被害者からは、有効なツールを受け取れなかった、部分的にしか復号ツールを受け取れなかった、あるいは破損した鍵に遭遇したという報告が頻繁に寄せられています。身代金を支払うことは、さらなる犯罪活動の資金源となり、再び標的にされる可能性も高くなります。こうした理由から、セキュリティ専門家は身代金要求に応じることを強く推奨していません。

出血を止める：除去と封じ込め

感染した環境からBash 2.0を除去することは、追加のファイルの暗号化を阻止し、接続されたシステムへの脅威の拡散を防ぐために不可欠です。しかし、マルウェアを駆除しても、既にロックされたデータは復号されません。真の復旧には、安全でオフラインで、侵害されていないバックアップが不可欠です。復旧前に、影響を受けたマシンをネットワークから分離し、最新のツールでマルウェアの完全スキャンを実行し、信頼性が保証できない場合は再構築または再イメージ化を実施してください。復旧したシステムは、クリーンであることを確認した後にのみ再接続してください。

BASH 2.0がどのように拡散するか

攻撃者は広範囲に攻撃を仕掛けます。ランサムウェア攻撃に関連し、Bash 2.0にも関連する一般的な配布ベクトルには、以下のものがあります。

• スパム、スピアフィッシング、またはソーシャル メッセージング プラットフォームを通じて配信される悪意のある添付ファイルまたはリンク。
• 正規のソフトウェア、ゲーム、メディア コーデック、または生産性ツールを装った、バンドルされたインストーラーまたはトロイの木馬化されたインストーラー。
• 侵害されたサイトや悪意のあるサイトからトリガーされるドライブバイダウンロード。多くの場合、マルバタイジングによってアクセスされます。
• 整合性制御が弱いサードパーティ、フリーウェア、ピアツーピアのダウンロード チャネル。
• 違法ソフトウェア「クラック」、キージェン、およびペイロードを静かに配信する偽造アクティベーション ユーティリティ。
• パッチの代わりにマルウェアをインストールする偽の更新プロンプト (ブラウザ、プラグイン、OS、またはアプリケーション)。

一部の脅威ビルドは、横方向の移動や自己増殖が可能で、ローカル ネットワークを通過したり、USB フラッシュ ドライブや外部ディスクなどのリムーバブル メディアに自身をコピーしたりします。

防御力を強化するためのセキュリティのベストプラクティス

• バージョン管理されたオフラインのバックアップを定期的にテストし、維持します。少なくとも1つのバックアップセットをネットワーク外（変更不可のストレージまたはライトワンスメディアを推奨）に保存します。
• オペレーティングシステム、アプリケーション、セキュリティスイート、ファームウェアに常に最新のパッチを適用し、可能な場合は自動更新を有効にしてください。
• 動作ベースのランサムウェア検出とロールバック機能を備えた、信頼性の高いマルウェア対策/EDR ソリューションを導入します。
• フィッシングのリスクを軽減するために、電子メール フィルタリング、添付ファイルのサンドボックス化、リンク スキャン ゲートウェイを使用します。また、偽装された送信者や予期しない添付ファイルを見分けられるようにユーザーをトレーニングします。

最後に

Bash 2.0ランサムウェアは、脅威アクターが既存のコードベースをいかに迅速に新たな恐喝ツールへと転用できるかを如実に示しています。シグネチャベースの検出や土壇場での対応だけに頼る防御側は、依然として不利な状況に置かれます。規律あるバックアップ戦略、強力なパッチ適用、多層的なエンドポイントおよびメール防御、最小権限設計、そして熟練した対応プレイブックを組み合わせることで、ランサムウェア攻撃の発生確率と影響を大幅に低減できます。