El Centro de Seguridad Cibernética de Australia (ACSC) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), han publicado inteligencia actualizada sobre las actividades de la peligrosa operación de ransomware BianLian, tras observar una rápida evolución en las tácticas, técnicas y procedimientos de la pandilla. (TTP).
BianLian, una de las varias pandillas que saltó a la fama por primera vez junto con LockBit en 2022 durante un cambio en el panorama de los ciberdelincuentes tras la desaparición del grupo Conti, es casi seguro que tiene su base en Rusia a pesar del nombre chino, probablemente un intento de ofuscación.
En los últimos años se ha ganado un nombre al atacar a operadores de infraestructura nacional crítica (CNI) tanto en Australia como en Estados Unidos, y también se han cobrado víctimas en el Reino Unido.
Habiendo obtenido acceso a los entornos de sus víctimas, generalmente robando credenciales válidas del Protocolo de escritorio remoto (RDP) y exfiltrando sus datos, BianLian históricamente empleó el modelo estándar de doble extorsión, cifrando los sistemas de las víctimas y luego amenazando con filtrar sus datos si no lo hacían. No valió la pena.
Sin embargo, dijeron los australianos, en 2023 BianLian comenzó a pasar a la extorsión basada en cifrado, en la que los sistemas se dejan intactos y se advierte a las víctimas de las consecuencias financieras, comerciales y legales si no se realiza el pago. Entre los ciberdelincuentes, esta técnica puede considerarse un método algo más sencillo de extorsionar a una víctima, ya que requiere menos trabajo técnico. BianLian ciertamente parece pensar que sí, porque desde enero de 2024 utilizan exclusivamente este método.
“El FBI, CISA y ACSC alientan a las organizaciones de infraestructura crítica y a las pequeñas y medianas organizaciones a implementar las recomendaciones en la sección de mitigaciones del aviso para reducir la probabilidad y el impacto de BianLian y otros incidentes de ransomware y extorsión de datos”, dijo el ACSC. .
Nuevas técnicas
El cambio más significativo observado es el abandono de un casillero de ransomware tradicional para el cifrado y la actualización de su nota de ransomware estándar para reflejar esto, de la cual se proporcionan ejemplos en el aviso.
También ha adoptado técnicas de mayor presión en un intento de presionar a sus víctimas para que paguen. Ahora envía copias de la nota de rescate a las imprentas de la oficina y los empleados de las empresas afectadas han recibido llamadas telefónicas amenazadoras.
Sin embargo, en el período previo a sus ataques, la pandilla también está utilizando otras técnicas actualizadas a las que los defensores deben estar alerta. El ACSC ofrece un resumen completo, pero entre algunos de los cambios, algunos de los observados por las autoridades están dirigidos a aplicaciones públicas de la infraestructura Microsoft Windows y VMware ESXi, explotando la antigua cadena de exploits ProxyShell para el acceso inicial. , además de RDP.
Una vez dentro de su objetivo, BianLian ahora también implanta una puerta trasera personalizada con código Go específica para la víctima y desde allí instala software de acceso y administración remota, prefiere productos populares como AnyDesk y TeamViewer, para establecer persistencia y comando y control (C2 ) propósitos. Ahora también parece estar utilizando la herramienta de proxy inverso Ngrok y posiblemente una versión modificada de la utilidad de código abierto Rsocks para establecer túneles desde las redes de las víctimas y ocultar hacia dónde se dirige el tráfico C2.
Para aumentar sus privilegios dentro del entorno de víctimas, recientemente ha comenzado a explotar CVE-2022-37969. Este día cero, entre los 64 errores que Microsoft intentó anular en su actualización del martes de parches de septiembre de 2022, es una vulnerabilidad de elevación de privilegios en el controlador del sistema de archivos de registro común de Windows y, explotada con éxito, otorga derechos de nivel de administrador.
Históricamente, BianLian ha aprovechado Power Shell y Windows Command Shell para desactivar herramientas antivirus como Windows Defender y Anti-Malware Scan Interface (AMSI). Ahora se ha observado que cambia el nombre de archivos binarios y tareas programadas según servicios y productos de seguridad originales de Windows y parece estar intentando empaquetar ejecutables usando UPX para ocultar su código en un intento de eludir las herramientas de detección.
Cuando se trata de establecer persistencia y facilitar un mayor movimiento lateral, se ha observado que la pandilla usa PsExec y RDP con cuentas válidas, pero también se les ha detectado usando el protocolo Server Message Block (SMB), instalando webshells en servidores Exchange y creando Azure Active. Cuentas de directorio (AD).
conoce a tu enemigo
Andrew Costis, gerente de ingeniería del Adversary Research Team y AttackIQ, que se especializa en simulaciones de ataques cibernéticos basados en MITRE ATT&CK, dijo que era vital que los defensores comprendieran y probaran los TTP, a menudo altamente específicos, utilizados por bandas como BianLian.
“El cambio a la extorsión basada en la exfiltración es interesante, particularmente porque se cree que los operadores de BianLian probablemente tienen su sede en Rusia o tienen vínculos con Rusia, basándose en algunas de las herramientas que se les ha observado utilizando”, observó.
“Con la actual situación geopolítica que se desarrolla entre Rusia, Ucrania y Occidente, este podría ser un movimiento estratégico para atacar a sus víctimas más rápido y, en última instancia, apuntar a más víctimas. Esta despriorización de la doble extorsión podría ser potencialmente una estrategia para ahorrar tiempo, ya que las negociaciones de doble extorsión requieren tiempo y recursos de ambas partes”, dijo Costis a Computer Weekly en comentarios enviados por correo electrónico.
“Desde una perspectiva de valor, la intención de este cambio de táctica sugiere que actualmente no valoran el cifrado o la doble extorsión. Sin duda será interesante ver si otros grupos de ransomware siguen su ejemplo”.