Bu hafta yayınlanan bir danışma belgesinde, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Avustralya Siber Güvenlik Merkezi (ACSC) ile birlikte kuruluşları fidye yazılımı geliştiricisi ve veri gaspı grubu tarafından yapılan saldırılara karşı uyarıyor. BianLian.
BianLian 2022’den beri faaliyet gösteriyor. Geçmişte fidye yazılımı çetesi, kurbanların sistemlerini şifreleyip verileri çaldıkları ve ödeme alınmazsa elde edilen verileri açığa çıkarmakla tehdit ettikleri çifte gasp modeli kullanmaya odaklanmıştı. Ancak uyarıda, Ocak ayında BianLian’ın saldırı yöntemlerini şifrelemeyle liderlik etmek yerine öncelikle hırsızlığa dayalı gasplara odaklanacak şekilde değiştirdiği uyarısında bulunuldu.
Grup, kurbanların ağlarına erişmek için çalınan uzak masaüstü protokolü (RDP) kimlik bilgilerinin yanı sıra ağda dolaşmak için açık kaynaklı araçlar ve komut satırı komut dosyası çalıştırma kullanıyor. Ardından, Dosya Aktarım Protokolü (FTP), Rclone veya Mega aracılığıyla verileri sızdırır. Bu tamamlandıktan sonra, grup kurbanlarına şantaj yapmaya devam ediyor.
Siber güvenlik servis sağlayıcısı [redacted] grupla ilgili araştırma yayınladı Mart ayında, üst düzey operasyonel güvenlik ve beceri penetrasyonunun ve bir fidye yazılımı organizasyonu olarak çalışırken devam eden büyümesinin ayrıntılarını verdi. Çeteye izin veren bu taktikler, teknikler ve prosedürlerdir (TTP’ler). kritik altyapı kuruluşlarını hedefleyin ABD ve Avustralya’da ve ayrıca profesyonel hizmetler ve mülk geliştirme organizasyonlarında.
Contrast Security’de siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellerman, danışma belgesine yanıt olarak, “Çoğu zaman, veri sızıntısı yoluyla gasp, tercih edilen yöntemdir,” diyor. “Değişim, yalnızca fidye yazılımının şifresini çözmek için değil, aynı zamanda onu sürdüren altyapıyı da bozmak için kolluk kuvvetleri ve siber topluluk arasındaki başarılı işbirliğinden kaynaklanıyor.”
CISA, kuruluşları uygulamaya çağırıyor danışma belgesinde sağladığı hafifletmeleruzaktan erişim araçlarının denetlenmesi, uzaktan erişim yazılımının yürütülmesi için günlüklerin gözden geçirilmesi ve bu saldırılar ışığında gelişmiş PowerShell günlük kaydının etkinleştirilmesi gibi.