FBI确认BianLian勒索软件转为勒索攻击
网络安全和基础设施安全局 (CISA) 发布了来自美国和澳大利亚政府机构的联合网络安全咨询,警告组织注意 BianLian 勒索软件组织使用的最新策略、技术和程序 (TTP)。
BianLian 是一个勒索软件和数据勒索组织,自2022 年 6 月以来一直以美国和澳大利亚关键基础设施中的实体为目标。
作为 StopRansomware 工作的一部分,该公告基于联邦调查局 (FBI) 和澳大利亚网络安全中心 (ACSC) 截至 2023 年 3 月的调查。
它旨在为防御者提供信息,使他们能够调整保护措施并加强他们对 BianLian 勒索软件和其他类似威胁的安全立场。
BianLian攻击战术
BianLian 最初采用双重勒索模式,从受害者网络窃取私人数据后对系统进行加密,然后威胁要发布文件。
然而,自 2023 年 1 月Avast 发布勒索软件的解密器以来,该组织转向了基于数据盗窃而不加密系统的勒索。
这种策略仍然令人信服,因为这些事件本质上是数据泄露,会损害受害者的声誉、破坏客户信任并引入法律纠纷。
CISA 的咨询警告说,BianLian 使用有效的远程桌面协议 (RDP) 凭据破坏系统,这些凭据可能是从初始访问代理处购买的或通过网络钓鱼获得的。
BianLian 然后使用用 Go 编写的自定义后门、商业远程访问工具以及用于网络侦察的命令行和脚本。
最后一个阶段包括通过文件传输协议 (FTP)、Rclone 工具或 Mega 文件托管服务泄露受害者数据。
为了逃避安全软件的检测,BianLian 利用 PowerShell 和 Windows Command Shell 来禁用与防病毒工具相关的正在运行的进程。
Windows 注册表也被操纵以中和 Sophos 安全产品提供的篡改保护。
建议的缓解措施
推荐的缓解措施是指限制 RDP 和其他远程桌面服务的使用,禁用命令行和脚本活动,以及限制在关键系统上使用 PowerShell。
该公告推荐了几种有助于保护网络的措施:
- 审核和控制网络上远程访问工具和软件的执行。
- 限制远程桌面服务(如 RDP)的使用并实施严格的安全措施。
- 限制 PowerShell 使用、更新到最新版本并启用增强日志记录。
- 定期审核管理帐户并采用最小权限原则。
- 制定恢复计划,将多个数据副本安全地离线存储。
- 遵守 NIST 密码管理标准,包括长度、存储、重用和多因素身份验证。
- 定期更新软件和固件,分段网络以提高安全性,并主动监控网络活动。
FBI、CISA 和 ACSC 鼓励关键基础设施组织和中小型组织实施本公告缓解措施部分中的建议,以减少 BianLian 和其他勒索软件事件的可能性和影响。—— CISA。
有关建议的缓解措施、妥协指标 (IoC)、命令跟踪和 BianLian 技术的更多详细信息,请参阅 CISA 和ACSC的完整公告。