Η επιχείρηση ransomware BianLian άλλαξε τις τακτικές της, μετατρέποντας κατά κύριο λόγο σε ομάδα εκβίασης κλοπής δεδομένων, σύμφωνα με μια ενημερωμένη συμβουλή από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ, το FBI και το Αυστραλιανό Κέντρο Ασφάλειας στον Κυβερνοχώρο.
Αυτές οι νέες πληροφορίες έρχονται σε μια ενημέρωση μιας κοινής συμβουλευτικής που κυκλοφόρησε τον Μάιο από τις ίδιες υπηρεσίες, η οποία προειδοποίησε για τις μεταβαλλόμενες τακτικές της BianLian που περιλαμβάνουν τη χρήση κλεμμένων διαπιστευτηρίων Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Επιφάνειας (RDP), προσαρμοσμένων backdoors που βασίζονται σε Go, εμπορικών εργαλείων απομακρυσμένης πρόσβασης και στοχευμένες τροποποιήσεις μητρώου των Windows.
Εκείνη την εποχή, η BianLian είχε ξεκινήσει μια μετάβαση στον εκβιασμό κλοπής δεδομένων, εγκαταλείποντας σταδιακά τις τακτικές κρυπτογράφησης αρχείων, ειδικά μετά την κυκλοφορία της Avast για την οικογένεια τον Ιανουάριο του 2023.
Ενώ η BleepingComputer γνωρίζει για επιθέσεις BianLian που χρησιμοποιούν κρυπτογράφηση προς τα τέλη του 2023, η ενημερωμένη συμβουλευτική αναφέρει ότι η ομάδα απειλών έχει στραφεί αποκλειστικά στην εκβίαση δεδομένων από τον Ιανουάριο του 2024.
«Ο όμιλος BianLian χρησιμοποίησε αρχικά ένα μοντέλο διπλής εκβίασης στο οποίο κρυπτογραφούσε τα συστήματα των θυμάτων μετά την διείσδυση των δεδομένων· ωστόσο, μεταπήδησε κυρίως στον εκβιασμό με βάση τον Ιανουάριο του 2023 και μεταπήδησε σε εκβιασμό αποκλειστικά με βάση τον εκβιασμό γύρω στον Ιανουάριο του 2024», αναφέρει. Ενημερωμένη γνωμοδότηση της CISA.
Ένα άλλο σημείο που τονίζεται στη συμβουλευτική είναι ότι η BianLian προσπαθεί τώρα να κρύψει την προέλευσή τους χρησιμοποιώντας ξενόγλωσσα ονόματα. Ωστόσο, οι υπηρεσίες πληροφοριών είναι βέβαιες ότι οι κύριοι χειριστές και πολλές θυγατρικές εδρεύουν στη Ρωσία.
Η συμβουλή έχει επίσης ενημερωθεί με τις νέες τεχνικές, τακτικές και διαδικασίες της συμμορίας ransomware:
- Στοχεύει την υποδομή Windows και ESXi, πιθανώς την αλυσίδα εκμετάλλευσης ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) για αρχική πρόσβαση.
- Χρησιμοποιεί το Ngrok και τα τροποποιημένα Rsocks για να κρύψει τους προορισμούς κυκλοφορίας χρησιμοποιώντας σήραγγες SOCK5.
- Εκμεταλλεύεται το CVE-2022-37969 για την κλιμάκωση των προνομίων στα Windows 10 και 11.
- Χρησιμοποιεί συσκευασία UPX για να παρακάμψει την ανίχνευση.
- Μετονομάζει δυαδικά αρχεία και εργασίες μετά από νόμιμες υπηρεσίες και προϊόντα ασφαλείας των Windows για φοροδιαφυγή.
- Δημιουργεί λογαριασμούς διαχειριστή τομέα και Azure AD, πραγματοποιεί συνδέσεις σύνδεσης δικτύου μέσω SMB και εγκαθιστά webshells σε διακομιστές Exchange.
- Χρήστες σενάρια PowerShell για συμπίεση συλλεγόμενων δεδομένων πριν από την εξαγωγή.
- Περιλαμβάνει νέο Tox ID για επικοινωνία με θύμα στο σημείωμα λύτρων.
- Εκτυπώνει σημειώσεις για λύτρα σε εκτυπωτές που είναι συνδεδεμένοι στο παραβιασμένο δίκτυο και καλεί τους υπαλλήλους των εταιρειών-θύμα να ασκήσουν πίεση.
Με βάση τα παραπάνω, η CISA συνιστά τον αυστηρό περιορισμό της χρήσης του RDP, την απενεργοποίηση των αδειών γραμμής εντολών και δέσμης ενεργειών και τον περιορισμό της χρήσης του PowerShell σε συστήματα Windows.
Η τελευταία δραστηριότητα της BianLian
Ενεργό από το 2022, το BianLian ransomware είχε μια παραγωγική χρονιά μέχρι στιγμής, καταγράφοντας 154 θύματα στην πύλη εκβιασμών του στον σκοτεινό ιστό.
Αν και τα περισσότερα από τα θύματα είναι μικρού έως μεσαίου μεγέθους οργανισμοί, η BianLian είχε ορισμένες αξιοσημείωτες παραβιάσεις πρόσφατα, συμπεριλαμβανομένων εκείνων κατά της Air Canada, της Northern Minerals και των Boston Children’s Health Physicians.
Η ομάδα απειλών ανακοίνωσε επίσης πρόσφατα παραβιάσεις εναντίον ενός παγκόσμιου Ιάπωνα κατασκευαστή αθλητικών ειδών, μιας εξέχουσας κλινικής του Τέξας, μιας παγκόσμιας ομάδας εξόρυξης, μιας διεθνούς οικονομικής συμβουλευτικής και μιας σημαντικής δερματολογικής πρακτικής στις ΗΠΑ, αλλά δεν έχουν επιβεβαιωθεί ακόμη.
VIA: bleepingcomputer.com