.
O FBI e seus amigos alertaram as organizações para “limitar estritamente o uso de RDP e outros serviços de área de trabalho remota” para evitar infecções BianLian e as tentativas de extorsão da gangue de ransomware que seguem a criptografia de dados.
Em um alerta conjunto de 19 páginas [PDF] emitido na terça-feira, o FBI, juntamente com a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA e o Centro Australiano de Segurança Cibernética (ACSC), alertou os administradores sobre os indicadores de comprometimento da equipe de extorsão, juntamente com suas táticas, técnicas e procedimentos observados recentemente. Marchar.
BianLian normalmente obtém acesso aos sistemas Windows das vítimas por meio de credenciais do Remote Desktop Protocol (RDP) – daí o conselho para reforçar a segurança RDP – e então usa ferramentas de software e scripts de linha de comando para encontrar e roubar mais credenciais e bisbilhotar a rede e seus arquivos. Presumivelmente, os malfeitores adivinham ou obtêm essas credenciais de área de trabalho remota inicialmente, portanto, adicionar segurança extra ali e depois, se não limitar ou bloquear o acesso total, é útil.
Assim que os invasores entram e encontram dados confidenciais que podem usar para extorquir suas vítimas, eles exfiltram as informações usando FTP, Rclone e Mega, dizem as autoridades.
Para diminuir a ameaça de se tornar a próxima vítima do BianLian, as agências governamentais instam as organizações a, além de bloquear o RDP, desabilitar ou limitar as atividades e permissões de linha de comando e script, restringir a execução de software aplicativo e também restringir o uso do PowerShell . Atualizar o Windows PowerShell ou PowerShell Core para a versão mais recente também é uma boa ideia.
Há outros conselhos que você deve verificar, como aumentar o log do PowerShell; adicionar bloqueios baseados em tempo às contas, para que ninguém possa sequestrar um usuário administrador fora do horário; e monitoramento de controladores de domínio e diretórios ativos em busca de novas contas e atividades suspeitas.
“FBI, CISA e ACSC incentivam organizações de infraestrutura crítica e organizações de pequeno e médio porte a implementar as recomendações na seção Mitigações deste comunicado para reduzir a probabilidade e o impacto do BianLian e outros incidentes de ransomware”, aconselharam os ciberpoliciais.
BianLian emergiu na cena do crime cibernético em junho de 2022 e rapidamente ganhou fama ao focar na saúde e em outros setores críticos de infraestrutura.
Criptografia é tão 2022
Embora os criminosos tenham começado como uma equipe de ransomware que usava dupla extorsão – roubar os dados, criptografar sistemas e ameaçar vazar os arquivos e não fornecer uma chave de descriptografia a menos que a vítima pagasse um resgate – no início deste ano, eles mudaram para extorsão total, descartando a parte da criptografia, de acordo com caçadores de ameaças do governo e do setor privado. E BianLian não é a única gangue criminosa a faça a mudança para ir atrás de sistemas críticos.
Há alguma especulação de que o lançamento da empresa de segurança cibernética a2host em janeiro de um descriptografador gratuito pois BianLian convenceu a gangue de que a extorsão sem a dor de cabeça da criptografia de arquivos é o futuro do crime cibernético para eles.
Os operadores por trás do BianLian estão entre um número crescente de grupos de ransomware que usam linguagens de programação mais recentes – neste caso, Go, mas outros também estão voltando-se para Rust — para tornar o malware um pouco mais difícil de analisar e contornar algumas ferramentas de proteção de endpoint. Isso ocorre porque alguns pesquisadores e softwares não estão acostumados a separar os binários construídos em Rust e Go, embora isso melhore.
Além de escrever um malware melhor, o BianLian também está aproveitando outra tendência entre os cibercriminosos: tornar os ataques de extorsão cada vez mais cruel e pessoal. Isso exige que os gangsters gastem mais tempo pesquisando suas vítimas e adaptando suas mensagens para – e assédio de — organizações e seus funcionários para aumentar o calor sobre as empresas a pagar.
“Em vários casos, BianLian fez referência a questões legais e regulatórias que uma vítima enfrentaria caso se tornasse público que a organização havia sofrido uma violação”, disseram pesquisadores de segurança. disse em um relatório de março sobre a gangue criminosa.
Pagar ou não pagar?
Se as vítimas não pagarem a demanda, a equipe BianLian ameaça publicar as informações roubadas em seu site de vazamento oculto pelo Tor. Isso torna as vítimas mais propensas a fazer um acordo, pois podem evitar processos legais demorados sobre a exposição de dados corporativos e pessoais.
Essa mudança, da criptografia para a extorsão via vazamento de dados, “se deve à colaboração bem-sucedida entre as autoridades policiais e a comunidade cibernética não apenas para descriptografar o ransomware, mas também para interromper a infraestrutura que o sustenta”, Tom Kellermann, vice-presidente sênior de estratégia cibernética na Contrast Security, disse Strong The One.
Mas, acrescentou Kellermann, também dá aos bandidos outra maneira de ganhar dinheiro com suas vítimas: shoxing. “Os cartéis do crime cibernético venderão a descoberto as ações da empresa vítima antes do vazamento de dados para obter um retorno, em um crime chamado shoxing”, explicou.
O FBI e a CISA aconselham as empresas a não pagar resgates à BianLian ou a qualquer grupo criminoso, pois isso não garante que os arquivos das vítimas não sejam divulgados ou vendidos discretamente.
“Além disso, o pagamento também pode encorajar os adversários a visar organizações adicionais, encorajar outros criminosos a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas”, disseram as agências governamentais no alerta BianLian.
No entanto, o que quer que uma organização decida fazer, pagar ou não pagar o resgate, os governos incitam as empresas a “relatar imediatamente” quaisquer incidentes cibernéticos ao FBI ou CISA nos EUA, ou ACSC na Austrália, ou qualquer que seja o órgão de cibercrime mais próximo. ®
.
