Um Aviso Conjunto de Segurança Cibernética de agências governamentais dos EUA e da Austrália, publicado pela Agência de Segurança Cibernética e de Infraestrutura (CISA), está alertando organizações sobre as últimas táticas, técnicas e procedimentos (TTPs) usados pelo grupo de ransomware BianLian.
BianLian é um grupo de ransomware e extorsão de dados que tem como alvo entidades na infraestrutura crítica dos EUA e da Austrália desde junho de 2022.
Parte do esforço #StopRansomware, o aviso é baseado em investigações do Bureau Federal de Investigação (FBI) e do Centro de Segurança Cibernética Australiano (ACSC) a partir de março de 2023.
Ele tem como objetivo fornecer aos defensores informações que lhes permitam ajustar as proteções e fortalecer sua postura de segurança contra o ransomware BianLian e outras ameaças semelhantes.
BianLian inicialmente empregou um modelo de dupla extorsão, criptografando sistemas após roubar dados privados das redes das vítimas e, em seguida, ameaçando publicar os arquivos.
No entanto, desde janeiro de 2023, quando a Avast lançou um descriptografador para o ransomware, o grupo mudou para extorsão baseada em roubo de dados sem criptografar sistemas.
Essa tática ainda é convincente, pois os incidentes são basicamente violações de dados que vêm com danos à reputação por parte da vítima, minam a confiança do cliente e introduzem complicações legais.
O aviso da CISA alerta que o BianLian viola sistemas usando credenciais válidas do Protocolo de Área de Trabalho Remota (RDP), possivelmente compradas de intermediários de acesso inicial ou adquiridas por meio de phishing.
O BianLian então usa um backdoor personalizado escrito em Go, ferramentas comerciais de acesso remoto e linhas de comando e scripts para reconhecimento de rede.
A última etapa consiste em extrair dados da vítima via Protocolo de Transferência de Arquivos (FTP), a ferramenta Rclone ou o serviço de hospedagem de arquivos Mega.
Para evitar a detecção de software de segurança, o BianLian aproveita o PowerShell e o Shell de Comando do Windows para desativar processos em execução associados a ferramentas antivírus.
O Registro do Windows também é manipulado para neutralizar a proteção contra violação fornecida pelos produtos de segurança da Sophos.
As mitigações recomendadas referem-se a limitar o uso de RDP e outros serviços de área de trabalho remota, desativar atividades de linha de comando e script e restringir o uso do PowerShell em sistemas críticos.
O aviso recomenda várias medidas que podem ajudar a defender a rede.
Informações mais detalhadas sobre as mitigações recomendadas, indicadores de comprometimento (IoCs), rastros de comando e técnicas do BianLian estão disponíveis nos boletins completos da CISA e do ACSC.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...