Nova estratégia para exfiltração de dados
25 de Novembro de 2024

O grupo de ransomware BianLian alterou significativamente seu modus operandi, distanciando-se do modelo de extorsão dupla que combinava a criptografia de dados com a ameaça de vazamento.

A partir de janeiro de 2024, o foco do grupo tem sido exclusivamente na exfiltração de dados, de acordo com um comunicado conjunto emitido pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), pelo FBI e pelo Centro de Segurança Cibernética da Austrália.

Esta mudança estratégica teve início em 2023, após a Avast lançar um descriptografador que comprometeu a eficácia das estratégias de criptografia adotadas pelo grupo.

Atualmente, o BianLian adota abordagens mais sofisticadas para acessar e explorar dados roubados, empregando credenciais de Protocolo de Área de Trabalho Remota (RDP) e ferramentas desenvolvidas em Go, além de técnicas para esconder suas atividades.

O grupo tenta ainda confundir os investigadores usando nomes falsos estrangeiros, embora autoridades afirmem que suas operações ainda são centralizadas na Rússia.

O alerta emitido pelas agências aponta para novas técnicas empregadas pelo BianLian, como a exploração de vulnerabilidades conhecidas ( CVE-2022-37969 e ProxyShell) para o acesso inicial e aumento de privilégios, assim como o uso de túneis SOCK5 modificados para ocultar o tráfego de dados.

O grupo também faz uso de scripts PowerShell para compactar os dados exfiltrados e tem a prática de imprimir mensagens de resgate em impressoras de rede, aumentando a pressão sobre as vítimas por meio de ligações diretas para funcionários das empresas alvejadas.

Desde 2022, a atuação do BianLian tem sido notável, com mais de 150 vítimas documentadas em seu site na dark web até 2024.

Apesar do grupo mirar principalmente em pequenas e médias empresas, houve ataques recentes a grandes organizações, incluindo a Air Canada, a Northern Minerals e a Boston Children’s Health Physicians.

O grupo também alega ter realizado ataques contra uma grande fabricante de artigos esportivos no Japão, uma clínica médica no Texas e um grupo de mineração internacional, ainda que algumas dessas afirmações aguardem confirmação.

Diante dessas ameaças, a CISA aconselha a adoção de medidas de proteção robustas, tais como limitar o uso do RDP, restringir a execução de scripts e comandos em sistemas Windows, e reduzir as permissões para o uso do PowerShell.

Com os ataques se tornando cada vez mais direcionados e avançados, as empresas devem intensificar suas estratégias de cibersegurança para mitigar riscos e proteger suas operações contra o BianLian e outras ameaças cibernéticas em emergência.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...