FBI确认BianLian勒索软件转为勒索攻击

VSole2023-05-19 15:46:10

网络安全和基础设施安全局 (CISA) 发布了来自美国和澳大利亚政府机构的联合网络安全咨询,警告组织注意 BianLian 勒索软件组织使用的最新策略、技术和程序 (TTP)。

BianLian 是一个勒索软件和数据勒索组织,自2022 年 6 月以来一直以美国和澳大利亚关键基础设施中的实体为目标。

作为 StopRansomware 工作的一部分,该公告基于联邦调查局 (FBI) 和澳大利亚网络安全中心 (ACSC) 截至 2023 年 3 月的调查。

它旨在为防御者提供信息,使他们能够调整保护措施并加强他们对 BianLian 勒索软件和其他类似威胁的安全立场。

BianLian攻击战术

BianLian 最初采用双重勒索模式,从受害者网络窃取私人数据后对系统进行加密,然后威胁要发布文件。

然而,自 2023 年 1 月Avast 发布勒索软件的解密器以来,该组织转向了基于数据盗窃而不加密系统的勒索。

这种策略仍然令人信服,因为这些事件本质上是数据泄露,会损害受害者的声誉、破坏客户信任并引入法律纠纷。

CISA 的咨询警告说,BianLian 使用有效的远程桌面协议 (RDP) 凭据破坏系统,这些凭据可能是从初始访问代理处购买的或通过网络钓鱼获得的。

BianLian 然后使用用 Go 编写的自定义后门、商业远程访问工具以及用于网络侦察的命令行和脚本。

最后一个阶段包括通过文件传输协议 (FTP)、Rclone 工具或 Mega 文件托管服务泄露受害者数据。

为了逃避安全软件的检测,BianLian 利用 PowerShell 和 Windows Command Shell 来禁用与防病毒工具相关的正在运行的进程。

Windows 注册表也被操纵以中和 Sophos 安全产品提供的篡改保护。

建议的缓解措施

推荐的缓解措施是指限制 RDP 和其他远程桌面服务的使用,禁用命令行和脚本活动,以及限制在关键系统上使用 PowerShell。

该公告推荐了几种有助于保护网络的措施:

  • 审核和控制网络上远程访问工具和软件的执行。
  • 限制远程桌面服务(如 RDP)的使用并实施严格的安全措施。
  • 限制 PowerShell 使用、更新到最新版本并启用增强日志记录。
  • 定期审核管理帐户并采用最小权限原则。
  • 制定恢复计划,将多个数据副本安全地离线存储。
  • 遵守 NIST 密码管理标准,包括长度、存储、重用和多因素身份验证。
  • 定期更新软件和固件,分段网络以提高安全性,并主动监控网络活动。

FBI、CISA 和 ACSC 鼓励关键基础设施组织和中小型组织实施本公告缓解措施部分中的建议,以减少 BianLian 和其他勒索软件事件的可能性和影响。—— CISA。

有关建议的缓解措施、妥协指标 (IoC)、命令跟踪和 BianLian 技术的更多详细信息,请参阅 CISA 和ACSC的完整公告。

软件cisa
本作品采用《CC 协议》,转载必须注明作者和本文链接
RaaS在Reveton扎根Reveton通过向被感染的电脑发送虚假的警察机构信息进行勒索入侵者甚至冒充美国联邦调查局或其他执法机构,强迫受害者支付罚款。据报道,Reveton的网络攻击者每月从受害者那里赚取约40万美元。Reveton定期发布新功能和新定制的赎金信息。毫无疑问,RaaS导致了勒索软件事件的持续上升。
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。
2021年5月18日,《美国创新与竞争法案》(United States Innovation and Competition Act of 2021)通过,由芯片和ORAN5G紧急拨款、《无尽前沿法案》、《2021战略竞争法案》、国土安全和政府事务委员会相关条款、《2021迎接中国挑战法案》和其他事项六部分构成。该法案进一步强化了《无尽前沿法案》提出的在科技领域赢得与中国的竞争的目标,提出了十大
CISA、FBI和国家安全局今天警告说,针对美国组织的康提勒索软件团伙的袭击升级。
软件供应链攻击正成为一种越来越常见的非法获取商业信息的犯罪方法。据研究机构Gartner预测,到2025年有45%的企业将会遭受供应链攻击。软件供应链包括业务软件研发与销售的任何环节,还涉及企业开发人员用来编写或引用代码的开源软件平台和公共存储库,还包括有权访问企业数据的任何服务组织。
2021年将被记住,因为这一年勒索软件团伙将注意力转向关键基础设施,尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英里的管道关闭,因为人们担心对其IT网络的勒索软件攻击会蔓延到控制分配燃料的管道的操作网络。
为进一步推动产业发展,更好地汇聚产学研用各方力量,聚焦关键软件领域密码应用核心问题,不断夯实软件产业发展基础,共同推动软件产业和密码技术融合发展,12月18日,“2021年商用密码应用创新高端研讨会”在经开区国家信创园成功召开。在会上,中关村网络安全与信息化产业联盟EMCG工作组组长王克带来题为《密码在软件供应链安全中的应用》的演讲。
联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 和财政部 (Treasury) 正在发布这份联合网络安全咨询 (CSA),以提供有关毛伊岛勒索软件的信息,该软件已被朝鲜使用至少从 2021 年 5 月开始,由国家资助的网络参与者针对医疗保健和公共卫生 (HPH) 部门组织。
拜登总统于本周签署“改变游戏规则”的立法,要求关键基础设施实体和联邦机构必须在72 小时内向网络安全和基础设施安全局(CISA)报告重大网络事件,并在 24 小时内向 CISA 报告勒索软件攻击。
明年滚动更新Kemba Walden表示,计划中的一些举措已经完成,包括提交拟议法规正式成立网络安全审查委员会并授予其法定权限。Kemba Walden将该计划描述为一份“活的文件”,表示它将随着威胁形势的变化和已完成举措引发的新行动需求而不断演变。Kemba Walden强调,该计划将改善政府应对具体事件的能力,例如最近外国黑客利用微软云邮件服务漏洞获取美国和欧洲政府工作人员账户一事。最近,大西洋理事会发布最新报告,呼吁采取行动更好地保护云基础设施。
VSole
网络安全专家