![CISA 称 BianLian 勒索软件团伙目前仅专注于数据盗窃]( "CISA 称 BianLian 勒索软件团伙目前仅专注于数据盗窃")
根据美国网络安全和基础设施安全局、联邦调查局和澳大利亚网络安全中心的最新警告,BianLian 勒索软件行动已改变策略,主要成为一个数据盗窃勒索组织。
这一新信息是对这些机构 5 月份发布的联合公告的更新,该公告警告称, BianLian 的攻击策略不断转变,包括使用被盗的远程桌面协议 (RDP) 凭据、自定义的基于 Go 的后门、商业远程访问工具和有针对性的 Windows 注册表修改。
此时,BianLian已开始转向数据窃取勒索,逐渐放弃文件加密策略,尤其是在Avast于 2023 年 1 月为该家族发布了解密器之后。
虽然 BleepingComputer 知道 BianLian 攻击在 2023 年底使用了加密技术,但更新后的建议称,该威胁组织自 2024 年 1 月以来已完全转向数据勒索。
CISA 的最新咨询报告中写道:“BianLian 组织最初采用双重勒索模式,即在窃取数据后加密受害者的系统;然而,他们在 2023 年 1 月左右转向主要基于窃取的勒索,并在 2024 年 1 月左右转向专门基于窃取的勒索。 ”
通报中强调的另一点是,BianLian目前试图通过使用外语名称来掩盖其来源。然而,情报机构确信,其主要运营商和多个分支机构都位于俄罗斯。
-
目标是 Windows 和 ESXi 基础架构,可能是 ProxyShell 漏洞链(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)用于初始访问。
-
使用 Ngrok 和修改后的 Rsocks 通过 SOCK5 隧道屏蔽流量目的地。
-
利用 CVE-2022-37969 提升 Windows 10 和 11 上的权限。
-
-
在合法的 Windows 服务和安全产品之后重命名二进制文件和任务以进行逃避检测。
-
创建域管理员和 Azure AD 帐户,通过 SMB 执行网络登录连接,并在 Exchange 服务器上安装 webshell。
-
用户使用 PowerShell 脚本在泄露之前压缩收集的数据。
-
在赎金通知中包含用于受害者沟通的新 Tox ID。
-
在连接到受感染网络的打印机上打印勒索信,并致电受害公司的员工施加压力。
基于上述情况,CISA 建议严格限制 RDP 的使用、禁用命令行和脚本权限,并限制在 Windows 系统上使用 PowerShell。
BianLian 勒索软件自 2022 年开始活跃,迄今为止是多产的一年,在暗网上的勒索门户网站上列出了 154 名受害者。
虽然大多数受害者都是中小型组织,但 BianLian 最近也发生了一些值得注意的攻击事件,包括针对加拿大航空、北方矿业和波士顿儿童健康医生的攻击。
该威胁组织最近还宣布对一家日本全球运动服装制造商、一家著名的德克萨斯州诊所、一家全球矿业集团、一家国际金融咨询公司以及一家美国大型皮肤病诊所进行了攻击,但这些攻击尚未得到证实。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):CISA 称 BianLian 勒索软件团伙目前仅专注于数据盗窃
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3493353.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论