Το FBI επιβεβαιώνει ότι η BianLian ransomware μεταβαίνει σε επιθέσεις μόνο για εκβιασμό

Μια κοινή Συμβουλευτική για την Κυβερνοασφάλεια από κυβερνητικούς φορείς στις ΗΠΑ και την Αυστραλία, που δημοσιεύεται από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA,) προειδοποιεί τους οργανισμούς για τις πιο πρόσφατες τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται από την ομάδα ransomware BianLian.

Η BianLian είναι μια ομάδα ransomware και εκβίασης δεδομένων που στοχεύει οντότητες στις κρίσιμες υποδομές των ΗΠΑ και της Αυστραλίας από τον Ιούνιο του 2022.

Μέρος της προσπάθειας #StopRansomware, η συμβουλή βασίζεται σε έρευνες από το Ομοσπονδιακό Γραφείο Ερευνών (FBI) και το Αυστραλιανό Κέντρο Ασφάλειας στον Κυβερνοχώρο (ACSC) από τον Μάρτιο του 2023. Έχει ως στόχο να παρέχει στους υπερασπιστές πληροφορίες που τους επιτρέπουν να προσαρμόσουν τις προστασίες και να ενισχύσουν τη στάση ασφαλείας τους έναντι του BianLian ransomware και άλλων παρόμοιων απειλών.

Τακτική επίθεσης BianLian

Η BianLian χρησιμοποίησε αρχικά ένα μοντέλο διπλού εκβιασμού, κρυπτογραφώντας συστήματα μετά την κλοπή ιδιωτικών δεδομένων από δίκτυα θυμάτων και στη συνέχεια απειλώντας να δημοσιεύσει τα αρχεία.

Ωστόσο, από τον Ιανουάριο του 2023, όταν η Avast κυκλοφόρησε έναν αποκρυπτογραφητή για το ransomware, η ομάδα στράφηκε στον εκβιασμό με βάση την κλοπή δεδομένων χωρίς συστήματα κρυπτογράφησης.

Αυτή η τακτική εξακολουθεί να είναι επιτακτική, καθώς τα περιστατικά είναι ουσιαστικά παραβιάσεις δεδομένων που συνοδεύονται από βλάβη της φήμης του θύματος, υπονομεύουν την εμπιστοσύνη των πελατών και δημιουργούν νομικές επιπλοκές.

Η συμβουλευτική της CISA προειδοποιεί ότι η BianLian παραβιάζει συστήματα χρησιμοποιώντας έγκυρα διαπιστευτήρια Πρωτοκόλλου Απομακρυσμένης Επιφάνειας εργασίας (RDP), τα οποία πιθανώς αγοράζονται από μεσίτες αρχικής πρόσβασης ή αποκτώνται μέσω ηλεκτρονικού ψαρέματος (phishing).

Στη συνέχεια, το BianLian χρησιμοποιεί μια προσαρμοσμένη κερκόπορτα γραμμένη στο Go, εμπορικά εργαλεία απομακρυσμένης πρόσβασης και γραμμή εντολών και σενάρια για αναγνώριση δικτύου. Το τελευταίο στάδιο αποτελείται από την εξαγωγή δεδομένων θυμάτων μέσω του Πρωτοκόλλου μεταφοράς αρχείων (FTP), του εργαλείου Rclone ή της υπηρεσίας φιλοξενίας αρχείων Mega.

Για να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας, η BianLian αξιοποιεί το PowerShell και το Windows Command Shell για να απενεργοποιήσει τις εκτελούμενες διαδικασίες που σχετίζονται με εργαλεία προστασίας από ιούς. Το μητρώο των Windows υποβάλλεται επίσης σε χειραγώγηση για την εξουδετέρωση της προστασίας από παραβίαση που παρέχεται από τα προϊόντα ασφαλείας της Sophos.

Προτεινόμενα μέτρα μετριασμού

Οι προτεινόμενοι περιορισμοί αναφέρονται στον περιορισμό της χρήσης του RDP και άλλων υπηρεσιών απομακρυσμένης επιφάνειας εργασίας, στην απενεργοποίηση των δραστηριοτήτων γραμμής εντολών και δέσμης ενεργειών και στον περιορισμό της χρήσης του PowerShell σε κρίσιμα συστήματα.

Η συμβουλευτική συνιστά διάφορα μέτρα που μπορούν να βοηθήσουν στην υπεράσπιση του δικτύου:

• Ελέγξτε και ελέγξτε την εκτέλεση εργαλείων και λογισμικού απομακρυσμένης πρόσβασης στο δίκτυό σας.
• Περιορίστε τη χρήση υπηρεσιών απομακρυσμένης επιφάνειας εργασίας όπως το RDP και επιβάλλετε αυστηρά μέτρα ασφαλείας.
• Περιορίστε τη χρήση του PowerShell, ενημερώστε την πιο πρόσφατη έκδοση και ενεργοποιήστε τη βελτιωμένη καταγραφή.
• Ελέγχετε τακτικά τους διοικητικούς λογαριασμούς και εφαρμόζετε την αρχή του ελάχιστου προνομίου.
• Αναπτύξτε ένα σχέδιο ανάκτησης με πολλαπλά αντίγραφα δεδομένων που είναι αποθηκευμένα με ασφάλεια και εκτός σύνδεσης.
• Συμμορφωθείτε με τα πρότυπα NIST για τη διαχείριση κωδικών πρόσβασης, συμπεριλαμβανομένου του μήκους, της αποθήκευσης, της επαναχρησιμοποίησης και του ελέγχου ταυτότητας πολλαπλών παραγόντων.
• Να ενημερώνετε τακτικά το λογισμικό και το υλικολογισμικό, να τμηματοποιείτε τα δίκτυα για βελτιωμένη ασφάλεια και να παρακολουθείτε ενεργά τη δραστηριότητα του δικτύου.

“Το FBI, η CISA και η ACSC ενθαρρύνουν τους οργανισμούς υποδομής ζωτικής σημασίας και τους μικρομεσαίους οργανισμούς να εφαρμόσουν τις συστάσεις στην ενότητα Μετριασμούς αυτής της συμβουλευτικής για να μειώσουν την πιθανότητα και τον αντίκτυπο του BianLian και άλλων περιστατικών ransomware.” – CISA.

Περισσότερες λεπτομερείς πληροφορίες σχετικά με τους συνιστώμενους μετριασμούς, τους δείκτες συμβιβασμού (IoC), τα ίχνη εντολών και τις τεχνικές BianLian είναι διαθέσιμες στα πλήρη δελτία από

CISA

και το

ACSC

.