Η CISA, το FBI και το Αυστραλιανό Κέντρο Κυβερνοασφάλειας προειδοποιούν ότι η επιχείρηση ransomware BianLian έχει αλλάξει τις τακτικές της και εστιάζει κυρίως στην κλοπή δεδομένων και στον εκβιασμό (και όχι στην κρυπτογράφηση).
Αυτές οι νέες πληροφορίες έρχονται στα πλαίσια ενός ενημερωμένου advisory (που κυκλοφόρησε αρχικά τον Μάιο) από τις ίδιες υπηρεσίες. Το ίδιο advisory ανέφερε άλλες τακτικές της ομάδας, όπως τη χρήση κλεμμένων διαπιστευτηρίων Remote Desktop Protocol (RDP), custom Go-based backdoors και εμπορικών εργαλείων απομακρυσμένης πρόσβασης.
Ήδη από εκείνη την εποχή, η ransomware συμμορία BianLian είχε ξεκινήσει τη μετάβαση στην κλοπή δεδομένων και τον εκβιασμό, εγκαταλείποντας σταδιακά τις τακτικές κρυπτογράφησης αρχείων.
Δείτε επίσης: Akira Ransomware: 30 θύματα σε μια μέρα στον ιστότοπο διαρροής
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Σύμφωνα με τις υπηρεσίες ασφαλείας, η ομάδα απειλών έχει στραφεί αποκλειστικά στον εκβιασμό ήδη από τον Ιανουάριο του 2024.
«Η ομάδα BianLian χρησιμοποίησε αρχικά ένα μοντέλο διπλού εκβιασμού, όπου κρυπτογραφούσε τα συστήματα των θυμάτων μετά την κλοπή των δεδομένων· ωστόσο, μεταπήδησε στον εκβιασμό μέσω κλοπής δεδομένων γύρω στον Ιανουάριο του 2024», αναφέρει η CISA στο ενημερωμένο advisory.
Ένα άλλο σημείο που τονίζεται, είναι ότι η ransomware ομάδα BianLian προσπαθεί τώρα να κρύψει την προέλευσή της, χρησιμοποιώντας ξενόγλωσσα ονόματα. Ωστόσο, οι υπηρεσίες είναι βέβαιες ότι οι κύριοι χειριστές και πολλοί από τους συνεργάτες τους εδρεύουν στη Ρωσία.
Δείτε επίσης: Το νέο «Helldown» Ransomware στοχεύει VMware και Linux συστήματα
Άλλα σημαντικά σημεία του advisory περιγράφουν τις νέες τακτικές και τεχνικές που χρησιμοποιεί πλέον η ομάδα:
- Στοχεύει υποδομή Windows και ESXi, χρησιμοποιώντας πιθανώς την αλυσίδα εκμετάλλευσης ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) για αρχική πρόσβαση.
- Εκμεταλλεύεται την ευπάθεια CVE-2022-37969 για την κλιμάκωση των προνομίων στα Windows 10 και 11.
- Χρησιμοποιεί το Ngrok και τα τροποποιημένα Rsocks για να κρύψει τους προορισμούς traffic χρησιμοποιώντας SOCK5 tunnels.
- Χρησιμοποιεί UPX packing για να παρακάμψει την ανίχνευση.
- Μετονομάζει binaries και tasks, χρησιμοποιώντας ονόματα από νόμιμες υπηρεσίες και προϊόντα ασφαλείας των Windows για να αποφύγει τον εντοπισμό.
- Δημιουργεί Domain Admin και Azure AD Accounts, πραγματοποιεί network login connections μέσω SMB και εγκαθιστά webshells σε διακομιστές Exchange.
- Χρησιμοποιεί PowerShell scripts για συμπίεση των συλλεγόμενων δεδομένων πριν από την εξαγωγή.
- Περιλαμβάνει νέο Tox ID για επικοινωνία με το θύμα.
- Εκτυπώνει σημειώσεις για λύτρα σε εκτυπωτές που είναι συνδεδεμένοι στο παραβιασμένο δίκτυο και καλεί τους υπαλλήλους των εταιρειών-στόχων να ασκήσουν πίεση.
Με βάση τα παραπάνω, η CISA συνιστά τον αυστηρό περιορισμό της χρήσης του RDP, την απενεργοποίηση των αδειών command-line και scripting και τον περιορισμό της χρήσης του PowerShell σε συστήματα Windows.
Πέρα από τις παραπάνω συμβουλές, που είναι πιο ειδικές, η στροφή της ransomware συμμορίας BianLian προς επιθέσεις κλοπής δεδομένων υπογραμμίζει τη σημασία ύπαρξης γενικών, ισχυρών μέτρων κυβερνοασφάλειας. Οι οργανισμοί θα πρέπει να εφαρμόζουν ισχυρούς ελέγχους πρόσβασης, να δημιουργούν τακτικά αντίγραφα ασφαλείας των δεδομένων τους και να διαθέτουν σχέδια αντιμετώπισης περιστατικών για να ανταποκρίνονται γρήγορα και να μετριάζουν πιθανές παραβιάσεις.
Δείτε επίσης: ΗΠΑ: Κατηγορίες εναντίον Ρώσου – Ύποπτος για διαχείριση του ransomware Phobos
Εκτός από τα τεχνικά μέτρα, η εκπαίδευση των εργαζομένων για το πώς να αναγνωρίζουν και να αποτρέπουν τις τακτικές κοινωνικής μηχανικής που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου είναι ζωτικής σημασίας. Αυτό περιλαμβάνει μηνύματα ηλεκτρονικού ψαρέματος, τα οποία χρησιμοποιούνται συχνά για την παράδοση ransomware και τη διευκόλυνση της κλοπής δεδομένων.
Επιπλέον, η τακτική ενημέρωση λογισμικού και συστημάτων είναι απαραίτητη για την αποτροπή εκμετάλλευσης ευπαθειών.
Πηγή: www.bleepingcomputer.com