A BianLian elsődleges célja a exfiltráció
Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és az Ausztrál Kiberbiztonsági Központ 2024. november 20-án frissített figyelmeztetést tett közzé a BianLian csoportról, amelyben arra figyelmeztetnek, hogy a csoport megváltoztatta taktikáját, és a rendszerek teljes titkosítása helyett most már inkább a vállalatok lopott adatokkal való zsarolása felé mozdult el. A csoport január óta kizárólag az exfiltráción alapuló zsarolásra összpontosít.
A figyelmeztetésben megjegyzik, hogy sok ransomware csoporthoz hasonlóan a valószínűleg oroszországi székhelyű csoport is arra használta a nevét, hogy az idegen nyelvű név választásával félrevezesse a csoporthoz köthető helyszínt és a nemzetiséget, szinte biztosan azért, hogy megnehezítse az attribúciós erőfeszítéseket. A csoport a Windows és az ESXi infrastruktúra nyilvános alkalmazásait vette célba, valószínűleg a népszerű ProxyShell sérülékenységeket – CVE-2021-34473, CVE-2021-34523 és CVE-2021-31207 – kihasználva a kezdeti hozzáférés megszerzéséhez. Az ügynökségek azt is látták, hogy a BianLian szereplői olyan sérülékenységeket használtak ki, mint a CVE-2022-37969, amely a Windows 10 és 11 rendszert érinti.
A csoport számos más eszközt is használ a feltört rendszereken való átjutáshoz, az adatok ellopásához és a megállításukra törekvő incidensre reagálók összezavarásához. Az egyik esetben az ügynökségek látták, hogy a BianLian több rendszergazdai fiókot hozott létre az áldozat rendszerén belül, hogy könnyebben mozoghasson a hálózaton belül, és könnyebben fenntarthassa a hozzáférést. 2024 előtt a csoport jellemzően egy titkosítót használt arra, hogy az összes érintett fájlt .bianlian kiterjesztéssel ellátva titkosítsa. Az újabb váltságdíjfizetési jegyzetek azt állítják, hogy a BianLian csoport kiszivárogtatta az adatokat, és azzal fenyegetőznek, hogy közzéteszik a kiszivárogtatott adatokat, ha nem fizetik ki a váltságdíjat. A csoport további nyomást próbál gyakorolni az áldozatokra azzal is, hogy a vállalati nyomtatókba váltságdíjfizetési felszólításokat nyomtat, sőt, még az alkalmazottakat is felhívja, hogy megfenyegesse őket.
A BianLian által jelentette kiberfenyegetés mérséklése érdekében az ügynökségek a következő intézkedéseket javasolják:
- Az RDP és más távoli asztali szolgáltatások használatának szigorú korlátozása.
- A parancssori és szkriptelési tevékenységeket és engedélyeket letiltása.
- A PowerShell használatának korlátozása, és a Windows PowerShell vagy a PowerShell Core frissítése a legújabb verzióra.
