BianLian fidye yazılımı grubu, sistemlerini tehlikeye atmak için her zamankinden daha hızlı hareket ederek operasyonlarını hızlandırıyor ve bir işletme olarak olgunlaşıyor. Araştırmacılar, şimdiye kadar en az 116 kurbanı yakalayan siber saldırılarda şifrelemeden saf veri hırsızlığı gasp taktiklerine doğru ilerliyor.
İlk olarak geçen Temmuz ayında keşfedilen BianLian, ilk taktiğinden çok fazla sapmadı: bir ağa sızdığında özel bir go-tabanlı arka kapı konuşlandırmak. Redacted araştırmacıları bugün yayınlanan bir blog yazısında, kötü amaçlı yazılımın işlevselliğinin birkaç ince ayar dışında temelde aynı kaldığını söyledi.
Bununla birlikte, grubun komuta ve kontrol sunucusunun (C2) arka kapıyı devreye alma hızı arttı ve grup, şifrelenmiş dosyaları fidye almaktan, ödemeleri almanın bir yolu olarak saf veri sızıntısı gaspına daha fazla odaklanmaya önemli ölçüde uzaklaştı. kurbanlar, dedi araştırmacılar.
Redacted istihbarattan sorumlu başkan yardımcısı Adam Flatley, “BianLian, ödeme almak için kurban ağlarını gerçekten şifrelemeleri gerekmediğini keşfetti,” diyor.
Veri sızdırma gaspına odaklanmaya yönelik bu değişiklik “son derece tehlikeli” çünkü grubun tehditleri belirli kurbanlara göre uyarlamak için zaman ve çaba harcamasına ve fidye ödemek için daha fazla baskı uygulamasına olanak tanıyor, diye ekliyor.
Flatley, “BianLian, kurbanlarını FBI ile çalışmamaya, olayı bildirmemeye ve sadece fidyeyi ödeyip yoluna devam etmeye zorlama konusunda daha da güçlü bir baskı pozisyonuna sahip olacak” diyor.
Araştırmacılar, BianLian’ın şifreleme stratejisini değiştirme motivasyonunun muhtemelen Avast’ın grubun hedefi olan kuruluşların dosyalarının kilidini açması için bir şifreleme aracı yayınlamasına bir yanıt olduğunu belirtti.
BianLian’ın en başından beri çifte gasp yöntemleri kullandığı göz önüne alındığında – belirli bir son tarihe kadar fidye ödenmezse mağdur bir kuruluşun çalınan verilerini çevrimiçi olarak yayınlamakla tehdit etmek – grup şifreleme adımını atlayıp doğrudan gasp yoluna gitmeye karar verdi. Düzenlendi.
Bir Siber Saldırı İşletmesi Olarak Olgunlaşmak
Araştırmacılar, bu değişimin BianLian’ın bir işletme olarak genel evriminin ve olgunlaşmasının bir parçası olduğunu söyledi. Başlangıcından bu yana grup, “ağ penetrasyonunda yüksek düzeyde operasyonel güvenlik ve beceriye” sahip olsa da, şimdi bir siber suçlu şantaj çetesi yürütme fiili işi açısından adımlarını atıyor gibi görünüyorlar.
Gerçekten de, ilk saldırılarda sergilediği benzersiz şifreleme yönteminden uzaklaşmak akıllıca bir iş hamlesi, diyor Flatley, özellikle bir kaçınma taktiği olarak. Veri hırsızlığı ağ veya iş kesintisine neden olmadığından, BianLian’ın faaliyetlerine daha az dikkat çekiyor, “bu da operasyonlarının daha fazla gözden kaçabileceği anlamına geliyor” diyor.
Flatley, “İş hizmetleri kesintiye uğradığında, örneğin müşteriler ve iş ortakları hizmetlerin çalışmadığını fark etmeye başladıkları için bir etkinliği sessiz tutmak çok zordur” diyor.
Araştırmacılar, grubun bu yeni stratejiyle başarıya ulaşmak için sahip olduğu bir diğer şeyin de, ilk erişimi elde ettikten sonra bir ağa arka kapı yerleştirmek için daha hızlı bir zaman olduğunu söyledi. Bu hız, BianLian’ın güçlü C2 sunucu oyunuyla bağlantılı ve grup her ay yaklaşık 30 yenisini çevrimiçi getiriyor ve her birinin tipik ömrü yaklaşık iki hafta, dediler.
BianLian bir kurban ağına bir C2 bağlantısı kurduğunda, artık arka kapısını yalnızca dakikalar içinde devreye alıyor; bu, güvenlik yöneticilerinin bir BianLian C2 keşfettiğinde, “grubun bir kurbanın ağına sağlam bir dayanak noktası sağlamış olma olasılığı yüksek” anlamına geliyor. ağ” dedi araştırmacılar.
Araştırmacılar, BianLian’ın kaç kurbanı tehlikeye attığını bilmek zor olsa da, 9 Mart itibarıyla grubun sızıntı sitesinde 116 kurban örgütünü ayrıntılı olarak açıkladığına dikkat çekti. Bu kurbanlar arasında sağlık kuruluşları, grup tarafından mağdur edilen en büyük sektör dikeyini temsil ediyor – esas olarak medya ve eğlence sektörüne odaklanan erken saldırılardan bir geçiş.
Veri Hırsızlığı ve Harcamaya Karşı Siber Savunmayı Destekleme
Araştırmacılar, BianLian ve diğer fidye yazılımı gruplarının saf gasp taktiklerine yönelmesiyle, işletmelerin bu saldırılara karşı savunma yöntemlerinde de değişiklikler yapması gerektiğini söyledi.
Flatley, “Çifte gasp senaryolarında fidyeyi ödemek zorunda kalmamalarına yardımcı olabilecek tekniklere daha fazla odaklanmaları gerekecek” diyor.
Bu tekniklerden bazıları, kolayca engellenen saldırılara karşı daha güçlü bir önleme stratejisinin yanı sıra “önlenemez” ağ izinsiz girişlerinin daha hızlı tespit edilmesini içeriyor, diyor. Flatley, kuruluşların fidye ödemekten nasıl kaçınabileceğine dair bir blog yazısında, “şifreler ve çok faktörlü kimlik doğrulama konusundaki en iyi uygulamaları izleyerek, sistemlerinize öncelikli ve zorunlu bir rejimde agresif bir şekilde yama uygulayarak ve çalışanlarınız için güvenlik eğitimi sağlayarak” yapılabilir.
Flatley, olay müdahalesini desteklemenin yanı sıra bir saldırı öncesinde fidye taleplerine hazırlanmak için bir plana sahip olmanın da kuruluşların haraç temelli saldırıların en kötü sonuçlarından kaçınmasına yardımcı olabileceğini söylüyor.
Birincisinin bir parçası olarak Flatley, gönderisinde kuruluşların iyi sistem yedeklerine sahip olduklarından emin olmaları gerektiğini, bu yedeklerin bir saldırganın bunlara erişememesi için etkili bir şekilde güvence altına alınmasını ve düzgün çalıştığından emin olmak için geri yükleme sürecinin tamamen test edilmesini belirtiyor. .