Un aviso de seguridad cibernética conjunto de las agencias gubernamentales de EE. UU. y Australia, y publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), advierte a las organizaciones sobre las últimas tácticas, técnicas y procedimientos (TTP) utilizados por el grupo de ransomware BianLian.
BianLian es un grupo de extorsión de datos y ransomware que ha estado apuntando a entidades en la infraestructura crítica de EE. UU. y Australia desde junio de 2022.
Como parte del esfuerzo #StopRansomware, el aviso se basa en investigaciones de la Oficina Federal de Investigaciones (FBI) y el Centro de Seguridad Cibernética de Australia (ACSC) a partir de marzo de 2023. Su objetivo es proporcionar a los defensores información que les permita ajustar las protecciones y fortalecer su postura de seguridad contra el ransomware BianLian y otras amenazas similares.
Tácticas de ataque de BianLian.
BianLian inicialmente empleó un modelo de doble extorsión, cifrando los sistemas después de robar datos privados de las redes de las víctimas y luego amenazando con publicar los archivos.
Sin embargo, desde enero de 2023, cuando Avast lanzó un descifrador para el ransomware, el grupo pasó a la extorsión basada en el robo de datos sin sistemas de cifrado.
Esta táctica sigue siendo convincente, ya que los incidentes son esencialmente filtraciones de datos que provocan daños en la reputación de la víctima, socavan la confianza del cliente e introducen complicaciones legales.
El aviso de CISA advierte que BianLian viola los sistemas utilizando credenciales de Protocolo de escritorio remoto (RDP) válidas, posiblemente compradas a intermediarios de acceso inicial o adquiridas a través de phishing.
Luego, BianLian usa una puerta trasera personalizada escrita en Go, herramientas comerciales de acceso remoto y una línea de comandos y scripts para el reconocimiento de la red. La última etapa consiste en exfiltrar los datos de la víctima a través del Protocolo de transferencia de archivos (FTP), la herramienta Rclone o el servicio de alojamiento de archivos Mega.
Para evadir la detección del software de seguridad, BianLian aprovecha PowerShell y Windows Command Shell para deshabilitar los procesos en ejecución asociados con las herramientas antivirus. El Registro de Windows también se manipula para neutralizar la protección contra manipulaciones proporcionada por los productos de seguridad de Sophos.
Mitigaciones propuestas.
Las mitigaciones recomendadas se refieren a limitar el uso de RDP y otros servicios de escritorio remoto, deshabilitar la línea de comandos y las actividades de secuencias de comandos, y restringir el uso de PowerShell en sistemas críticos.
El aviso recomienda varias medidas que pueden ayudar a defender la red:
- Audite y controle la ejecución de herramientas y software de acceso remoto en su red.
- Restrinja el uso de servicios de escritorio remoto como RDP y aplique medidas de seguridad estrictas.
- Limite el uso de PowerShell, actualice a la última versión y habilite el registro mejorado.
- Auditar regularmente las cuentas administrativas y emplear el principio de privilegio mínimo.
- Desarrolle un plan de recuperación con múltiples copias de datos almacenados de forma segura y fuera de línea.
- Cumpla con los estándares NIST para la gestión de contraseñas, incluidos la longitud, el almacenamiento, la reutilización y la autenticación multifactor.
- Actualice regularmente el software y el firmware, segmente las redes para mejorar la seguridad y supervise activamente la actividad de la red.
Hay disponible información más detallada sobre las mitigaciones recomendadas, los indicadores de compromiso (IoC), los seguimientos de comandos y las técnicas de BianLian en los boletines completos de CISA y ACSC.
Fuente y redacción: bleepingcomputer.com
