Ένα κοινό advisory για την ασφάλεια στον κυβερνοχώρο, που δημοσιεύθηκε από τον Οργανισμό για την ασφάλεια στον κυβερνοχώρο και την ασφάλεια των υποδομών (CISA), εκδόθηκε από κυβερνητικές υπηρεσίες των ΗΠΑ και της Αυστραλίας, προειδοποιώντας τους οργανισμούς για τις τελευταίες τακτικές, τεχνικές και διαδικασίες (TTPs) που χρησιμοποιεί η ομάδα BianLian ransomware.
Η BianLian είναι μια ομάδα ransomware και εκβιασμού δεδομένων που στοχεύει οντότητες σε κρίσιμες υποδομές των ΗΠΑ και της Αυστραλίας από τον Ιούνιο του 2022.
Στο πλαίσιο της προσπάθειας #StopRansomware, η παρούσα συμβουλή βασίζεται σε έρευνες του Ομοσπονδιακού Γραφείου Ερευνών (FBI) και του Αυστραλιανού Κέντρου Κυβερνοασφάλειας (ACSC), από τον Μάρτιο του 2023. Στόχος της είναι να παράσχει στους αμυνόμενους πληροφορίες που θα τους επιτρέψουν να προσαρμόσουν τις προστασίες τους και να ενισχύσουν τη στάση ασφαλείας τους έναντι του BianLian ransomware και άλλων παρόμοιων απειλών.
Δείτε επίσης: Ransomware ομάδα ζητά δωρεά για φιλανθρωπικό σκοπό αντί για λύτρα
Δείτε επίσης: Κακόβουλες επεκτάσεις Microsoft VSCode κλέβουν password
Τακτικές επίθεσης Bianlian
Το BianLian χρησιμοποίησε αρχικά ένα μοντέλο διπλού εκβιασμού, κρυπτογραφώντας συστήματα αφού έκλεβε ιδιωτικά δεδομένα από τα δίκτυα των θυμάτων και στη συνέχεια απειλούσε να δημοσιεύσει τα αρχεία.
Ωστόσο, από τον Ιανουάριο του 2023, όταν η Avast κυκλοφόρησε έναν αποκρυπτογράφο για το ransomware, η ομάδα μεταπήδησε στον εκβιασμό με βάση την κλοπή δεδομένων χωρίς να κρυπτογραφεί τα συστήματά τους.
Η τακτική αυτή εξακολουθεί να είναι επιτακτική, καθώς τα περιστατικά αφορούν ουσιαστικά παραβιάσεις δεδομένων που προκαλούν ζημία στη φήμη του θύματος, υπονομεύουν την εμπιστοσύνη των πελατών και εισάγουν νομικές επιπλοκές.
Η συμβουλευτική της CISA προειδοποιεί ότι η BianLian παραβιάζει συστήματα χρησιμοποιώντας έγκυρα διαπιστευτήρια του Remote Desktop Protocol (RDP), τα οποία μπορεί να έχουν αγοραστεί από μεσίτες αρχικής πρόσβασης ή να έχουν αποκτηθεί μέσω phishing.
Στη συνέχεια, το BianLian χρησιμοποιεί μια προσαρμοσμένη κερκόπορτα γραμμένη σε Go, εμπορικά εργαλεία απομακρυσμένης πρόσβασης και σενάρια γραμμής εντολών για αναγνώριση δικτύου. Το τελευταίο στάδιο συνίσταται στην απομόνωση δεδομένων του θύματος μέσω του πρωτοκόλλου μεταφοράς αρχείων (FTP), του εργαλείου Rclone ή της υπηρεσίας φιλοξενίας αρχείων Mega.
Για να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας, το BianLian χρησιμοποιεί το PowerShell και το Windows Command Shell για να απενεργοποιήσει τις διεργασίες που εκτελούνται και σχετίζονται με εργαλεία προστασίας από ιούς. Το μητρώο των Windows χειραγωγείται επίσης για την εξουδετέρωση της προστασίας από παραβίαση που παρέχουν τα προϊόντα ασφαλείας της Sophos.
Δείτε επίσης: Cisco: Προειδοποιεί για κρίσιμα σφάλματα switch με δημόσιο κώδικα εκμετάλλευσης
Προτεινόμενα mitigations
Τα συνιστώμενα μέτρα μετριασμού αφορούν τον περιορισμό της χρήσης του RDP και άλλων υπηρεσιών remote desktop, την απενεργοποίηση δραστηριοτήτων που σχετίζονται με τη γραμμή εντολών και τις δέσμες ενεργειών και τον περιορισμό της χρήσης του PowerShell σε κρίσιμα συστήματα.
Το advisory συνιστά διάφορα μέτρα που μπορούν να βοηθήσουν στην υπεράσπιση του δικτύου.
- Ελέγξτε την εκτέλεση εργαλείων και λογισμικού απομακρυσμένης πρόσβασης στο δίκτυό σας.
- Περιορίστε τη χρήση υπηρεσιών απομακρυσμένης επιφάνειας εργασίας όπως το RDP και επιβάλλετε αυστηρά μέτρα ασφαλείας.
- Περιορίστε τη χρήση του PowerShell, ενημερώστε την πιο πρόσφατη έκδοση και ενεργοποιήστε τη βελτιωμένη καταγραφή.
- Ελέγχετε τακτικά τους διοικητικούς λογαριασμούς και εφαρμόζετε την αρχή του ελάχιστου προνομίου.
- Αναπτύξτε ένα σχέδιο ανάκτησης με πολλαπλά αντίγραφα δεδομένων που είναι αποθηκευμένα με ασφάλεια και εκτός σύνδεσης.
- Συμμορφωθείτε με τα πρότυπα NIST για τη διαχείριση κωδικών πρόσβασης, συμπεριλαμβανομένου του μήκους, της αποθήκευσης, της επαναχρησιμοποίησης και του ελέγχου ταυτότητας πολλαπλών παραγόντων.
- Να ενημερώνετε τακτικά το software και το firmware, να τμηματοποιείτε τα δίκτυα για βελτιωμένη ασφάλεια και να παρακολουθείτε ενεργά τη δραστηριότητα του δικτύου.
Λεπτομερέστερες πληροφορίες σχετικά με τα συνιστώμενα μετριαστικά μέτρα, τους δείκτες παραβίασης (IoCs), τα ίχνη εντολών και τις τεχνικές BianLian είναι διαθέσιμες στα πλήρη δελτία της CISA και της ACSC.
Πηγή πληροφοριών: bleepingcomputer.com
