Η ομάδα πίσω από το BianLian ransomware εκμεταλλεύεται ευπάθειες ασφαλείας στο JetBrains TeamCity software για επιθέσεις με στόχο τον εκβιασμό.
Μια νέα αναφορά της GuidePoint Security λέει, σχετικά με μια νέα εισβολή, ότι το περιστατικό “ξεκίνησε με την εκμετάλλευση ενός TeamCity server που οδήγησε στην ανάπτυξη μιας εφαρμογής PowerShell του Go backdoor BianLian“.
Το BianLian ransomware εμφανίστηκε το καλοκαίρι του 2022 και πλέον χρησιμοποιείται αποκλειστικά για επιθέσεις εκβιασμού, μετά την κυκλοφορία ενός εργαλείου αποκρυπτογράφησης τον Ιανουάριο του 2023.
Κατά την πρόσφατη καμπάνια, γίνεται εκμετάλλευση ενός TeamCity instance μέσω της ευπάθειας CVE-2024-27198 ή της CVE-2023-42793. Οι ευπάθειες χρησιμοποιούνται για την αρχική πρόσβαση στο περιβάλλον. Στη συνέχεια, δημιουργούνται νέοι χρήστες στον build server και ξεκινά η εκτέλεση κακόβουλων εντολών για περαιτέρω εκμετάλλευση και lateral movement.
Δείτε επίσης: Το Νοσοκομείο Lurie ανακάμπτει από την επίθεση Ransomware
Προς το παρόν, δεν είναι σαφές ποια από τις δύο ευπάθειες χρησιμοποιήθηκε σε αυτές τις επιθέσεις.
Η ομάδα πίσω από το BianLian ransomware είναι γνωστή για την εγκατάσταση custom backdoor στα θύματα, καθώς και για την εγκατάσταση remote desktop εργαλείων, όπως τα AnyDesk, Atera, SplashTop και TeamViewer. Το backdoor παρακολουθείται από τη Microsoft ως BianDoor.
“Μετά από πολλές αποτυχημένες προσπάθειες εκτέλεσης του τυπικού Go backdoor, ο παράγοντας απειλής στράφηκε στο living-off-the-land και χρησιμοποίησε μια εφαρμογή PowerShell του backdoor, η οποία παρέχει σχεδόν πανομοιότυπη λειτουργικότητα με αυτή που θα είχε το Go backdoor του“, ανέφεραν οι ερευνητές Justin Timothy, Gabe Renfro και Keven Murphy.
Το PowerShell backdoor (“web.ps1”) έχει σχεδιαστεί για να δημιουργεί TCP socket για πρόσθετη επικοινωνία δικτύου με έναν διακομιστή που ελέγχεται από τους επιτιθέμενους. Με αυτόν τον τρόπο, οι απομακρυσμένοι εισβολείς πραγματοποιούν ενέργειες σε έναν μολυσμένο κεντρικό υπολογιστή.
Δείτε επίσης: Ransomware 2023: Οι Αμερικανοί έχασαν $59,6 εκατ.
Προστασία από ransomware επιθέσεις BianLian και εκβιασμούς
Πρώτον, είναι σημαντικό να διατηρείται το λογισμικό JetBrains TeamCity ενημερωμένο. Οι αναβαθμίσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αντιμετωπίσουν τις ευπάθειες που εκμεταλλεύονται οι επιτιθέμενοι.
Δεύτερον, η εφαρμογή ισχυρών πολιτικών κωδικού πρόσβασης και η χρήση πολυπαραγοντικής ταυτοποίησης μπορεί να βοηθήσει στην προστασία των συστημάτων από την παραβίαση.
Τρίτον, η παρακολούθηση και η ανάλυση των καταγραφών δικτύου και των συστημάτων μπορεί να αποκαλύψει ασυνήθιστη δραστηριότητα ή προσπάθειες εισβολής.
Δείτε επίσης: Ελβετία: Το Play ransomware διέρρευσε κυβερνητικά έγγραφα
Τέταρτον, η εκπαίδευση του προσωπικού σχετικά με τις τακτικές της ransomware ομάδας BianLian και την αναγνώριση των επιθέσεων ransomware/εκβιασμού μπορεί να είναι ένα πολύτιμο εργαλείο για την πρόληψη των επιθέσεων.
Πέμπτον, η χρήση λογισμικού ανίχνευσης εισβολών και προστασίας από επιθέσεις μπορεί να βοηθήσει στην ανακάλυψη και την αντιμετώπιση των επιθέσεων σε πραγματικό χρόνο.
Τέλος, η δημιουργία αντιγράφων ασφαλείας μπορεί να βοηθήσει στη γρήγορη ανάκτηση δεδομένων.
Πηγή: thehackernews.com