Mashirika ya serikali ya Marekani na Australia yamezitaka mashirika muhimu ya miundombinu kujilinda dhidi ya mbinu mpya zinazotumiwa na kundi la BianLian ransomware. Mbinu, mbinu na taratibu zilizosasishwa (TTPs) ni pamoja na kuhamia kwa ulafi kulingana na uchujaji na kutumia mbinu mpya za ufikiaji wa awali, amri na udhibiti, na ukwepaji wa ulinzi. Ushauri wa pamoja kutoka kwa FBI, Wakala wa Usalama wa Mtandao na Miundombinu (CISA) na Kituo cha Usalama cha Mtandao cha Australia cha Australian Signals Directorate (ASD’s ACSC) ni sasisho la uchapishaji wa Mei 2023 na mashirika kuhusu BianLian. Kundi la BianLian Ransomware BianLian limeonekana likilenga mashirika katika sekta nyingi muhimu za miundombinu za Marekani tangu Juni 2022. Nchini Australia, kundi hili limelenga zaidi makampuni ya kibinafsi, hii ilijumuisha angalau shirika moja muhimu la miundombinu. Inaaminika kuwa ilihusika na shambulio dhidi ya kampuni ya uchimbaji madini ya Australia ya Northern Minerals mnamo Juni 2024. BianLian ni msanidi programu wa ukombozi, msambazaji, na kikundi cha wahalifu wa mtandaoni cha ulaghai wa data, ambacho huenda kiko nchini Urusi na washirika wengi wenye makao yake nchini Urusi. Mamlaka za Marekani na Australia zinaamini kuwa kundi hilo linajaribu kupotosha eneo na uraia kwa kuchagua majina ya lugha za kigeni, kwa lengo la kutatiza mbinu za uandishi. Shift to Exfiltration-based Extration Ushauri wa Novemba 2024 ulibainisha kuwa BianLian awali alitumia modeli ya ulafi maradufu ambapo ilichuja faili za kifedha, mteja, biashara, kiufundi na za kibinafsi kwa ajili ya kuimarisha na mifumo iliyosimbwa kwa waathiriwa. Hata hivyo, kikundi kilionekana kikihamia kwenye ulaghai unaotegemea uchujaji mnamo Januari 2023 na hivyo pekee kuanzia Januari 2024. Kufuatia ufikiaji wa awali, watendaji wa BianLian huchuja data ya mwathiriwa kupitia Itifaki ya Uhamishaji Faili (FTP), Rclone au Mega. Kisha huwapora waathiriwa pesa kwa kutishia kutoa data ikiwa malipo hayatafanywa. BianLian pia anaonya juu ya athari za kifedha, biashara na kisheria ikiwa malipo hayatafanywa. Kwa kawaida, kikundi huacha mifumo ya waathiriwa ikiwa sawa, bila kujaribu kuwasilisha mzigo wa malipo ya ransomware. Soma sasa: Vikundi vya Ransomware Huweka Kipaumbele katika Ukwepaji wa Ulinzi kwa Uchujaji wa Data Mbinu Mpya za Ufikiaji wa Awali na Udumu Waigizaji wa BianLian wamepanua mbinu zao za awali za ufikiaji. Kando na kutumia vitambulisho vilivyoathiriwa vya Itifaki ya Eneo-kazi la Mbali (RDP), hivi majuzi yameonekana yakilenga programu zinazoelekea umma za miundombinu ya Windows na ESXi, ikiwezekana kutumia msururu wa unyonyaji wa ProxyShell ili kupata ufikiaji wa awali. Amri na Udhibiti Ili kuanzisha amri na udhibiti, BianLian sasa anaweza kutumia zana ya seva mbadala ya Ngrok na/au toleo lililobadilishwa la matumizi ya chanzo huria ya Rsocks. Hapo awali, waigizaji wa kikundi walilenga katika kupandikiza mlango maalum wa nyuma kwa kila mwathiriwa ulioandikwa katika Go kwa madhumuni haya. Ukwepaji wa Ulinzi Kikundi kimebadilisha mbinu zake za kukwepa ulinzi zaidi ya kutumia PowerShell na Windows Command Shell ili kuzima zana za kuzuia virusi. Hivi majuzi imeonekana ikibadilisha jina la jozi na kazi zilizopangwa baada ya huduma halali za Windows au bidhaa za usalama. Kikundi hicho kinaweza pia kubeba utekelezo kwa kutumia UPX kuficha nambari zao katika jaribio la kukwepa mbinu za ugunduzi wa kiheuristic na saini, mashirika hayo yalisema. Waigizaji wa kundi la Persistence and Lateral Movement BianLian wanajulikana kutumia PsExec na RDP na akaunti halali za harakati za upande. Mbinu zingine kadhaa pia zimezingatiwa. Katika kisa kimoja, waigizaji wa BianLian waliunda akaunti nyingi za wasimamizi wa kikoa kwa matumizi katika harakati za baadaye kwa kidhibiti cha kikoa na kuunda akaunti nyingi za AD ya Azure ili kudumisha ufikiaji wa mifumo ya waathiriwa. Katika maelewano tofauti, kikundi kilisakinisha makombora ya wavuti kwa uendelevu kwenye seva ya Exchange ya mwathirika. Uchujaji BianLian hutafuta faili nyeti kwa kutumia hati za PowerShell na kuziondoa kwa ulaghai wa data. Kwa kawaida hutumia Itifaki ya Uhawilishaji Faili (FTP) kwa uchujaji. Kikundi pia kimezingatiwa kusakinisha Rclone na faili zingine katika folda za kawaida na ambazo hazijachaguliwa kama vile programu\vmware na folda za muziki, na vile vile kutumia huduma ya kushiriki faili ya Mega kuchuja data ya mwathirika. Kabla ya Januari 2024, BianLian alitumia encryptor (encryptor.exe) ambayo ilirekebisha faili zote zilizosimbwa kwa njia fiche ili kuwa na kiendelezi cha .bianlian na ingeunda noti ya fidia katika kila saraka iliyoathiriwa. Vidokezo vipya zaidi vya ukombozi vinasema tu kwamba kikundi cha BianLian kimechuja data na kutishia kuvujisha data iliyochujwa ikiwa fidia haitalipwa Jinsi ya Kulinda Dhidi ya Mashambulizi ya BianLian FBI, CISA na ACSC ya ASD ilitoa mapendekezo mahususi kwa mashirika ili kuyasaidia kujilinda dhidi ya mbinu za BianLian, pamoja na vidhibiti vya jumla zaidi kama vile uthibitishaji wa vipengele vingi na usimamizi wa ufikiaji uliobahatika. Hizi ni pamoja na: Kukagua zana za ufikiaji wa mbali kwenye mtandao wako na kukagua kumbukumbu za utekelezaji wa programu ya ufikiaji wa mbali ili kugundua matumizi yasiyo ya kawaida ya programu zinazoendeshwa kama vidhibiti vinavyotekelezeka vya Utekelezaji wa programu ili kudhibiti na kudhibiti utekelezaji wa programu, ikiwa ni pamoja na kuorodhesha programu za ufikiaji wa mbali Kuzuia matumizi. ya RDP na huduma zingine za eneo-kazi za mbali Inalemaza safu ya amri na shughuli za uandishi na ruhusa Kuzuia matumizi ya PowerShell, kwa kutumia Sera ya Kikundi, na pekee. wape watumiaji mahususi kwa msingi wa kesi baada ya kesi Sasisha Windows PowerShell au PowerShell Core kwa toleo jipya zaidi na uondoe matoleo yote ya awali ya PowerShell Kusanidi Usajili wa Windows ili kuhitaji idhini ya Udhibiti wa Akaunti ya Mtumiaji (UAC) kwa shughuli zozote za PsExec Kagua vidhibiti, seva. , vituo vya kazi, na saraka amilifu za akaunti mpya na/au zisizotambulika
Leave a Reply