網絡安全和基礎設施安全局 (CISA) 發布了來自美國和澳大利亞政府機構的聯合網絡安全咨詢,警告組織注意 BianLian 勒索軟件組織使用的最新策略、技術和程序 (TTP)。

BianLian 是一個勒索軟件和數據勒索組織,自2022 年 6 月以來一直以美國和澳大利亞關鍵基礎設施中的實體為目標。

作為 StopRansomware 工作的一部分,該公告基于聯邦調查局 (FBI) 和澳大利亞網絡安全中心 (ACSC) 截至 2023 年 3 月的調查。

它旨在為防御者提供信息,使他們能夠調整保護措施并加強他們對 BianLian 勒索軟件和其他類似威脅的安全立場。

BianLian攻擊戰術

BianLian 最初采用雙重勒索模式,從受害者網絡竊取私人數據后對系統進行加密,然后威脅要發布文件。

然而,自 2023 年 1 月Avast 發布勒索軟件的解密器以來,該組織轉向了基于數據盜竊而不加密系統的勒索。

這種策略仍然令人信服,因為這些事件本質上是數據泄露,會損害受害者的聲譽、破壞客戶信任并引入法律糾紛。

CISA 的咨詢警告說,BianLian 使用有效的遠程桌面協議 (RDP) 憑據破壞系統,這些憑據可能是從初始訪問代理處購買的或通過網絡釣魚獲得的。

BianLian 然后使用用 Go 編寫的自定義后門、商業遠程訪問工具以及用于網絡偵察的命令行和腳本。

最后一個階段包括通過文件傳輸協議 (FTP)、Rclone 工具或 Mega 文件托管服務泄露受害者數據。

為了逃避安全軟件的檢測,BianLian 利用 PowerShell 和 Windows Command Shell 來禁用與防病毒工具相關的正在運行的進程。

Windows 注冊表也被操縱以中和 Sophos 安全產品提供的篡改保護。

建議的緩解措施

推薦的緩解措施是指限制 RDP 和其他遠程桌面服務的使用,禁用命令行和腳本活動,以及限制在關鍵系統上使用 PowerShell。

該公告推薦了幾種有助于保護網絡的措施:

  • 審核和控制網絡上遠程訪問工具和軟件的執行。
  • 限制遠程桌面服務(如 RDP)的使用并實施嚴格的安全措施。
  • 限制 PowerShell 使用、更新到最新版本并啟用增強日志記錄。
  • 定期審核管理帳戶并采用最小權限原則。
  • 制定恢復計劃,將多個數據副本安全地離線存儲。
  • 遵守 NIST 密碼管理標準,包括長度、存儲、重用和多因素身份驗證。
  • 定期更新軟件和固件,分段網絡以提高安全性,并主動監控網絡活動。

FBI、CISA 和 ACSC 鼓勵關鍵基礎設施組織和中小型組織實施本公告緩解措施部分中的建議,以減少 BianLian 和其他勒索軟件事件的可能性和影響。—— CISA。

有關建議的緩解措施、妥協指標 (IoC)、命令跟蹤和 BianLian 技術的更多詳細信息,請參閱 CISA 和ACSC的完整公告。

軟件 cisa 網絡安全 勒索
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接