BianLian, Gasp Yolunda Şifrelemeyi Atlıyor

Bu yılın başlarında güvenlik araştırmacıları, grubun, çalınan veriler hakkında sessizlik için fidye talep etme şeklindeki düz gasp taktiğine girmek için çifte gaspı atladığını fark etti.

Şimdi ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi de aynı şeyi söylüyor.

BianLian’ın değişimindeki en büyük olası faktör, siber güvenlik firması Avast’ın ücretsiz bir şifre çözücünün Ocak ayında piyasaya sürmesiydi (bkz:: Ücretsiz Şifre Çözücü Tarafından Sokulan Fidye Yazılımı Grubu Gaspı Kucaklıyor).

Grubun adı, karakterlerin yüzlerinin göz açıp kapayıncaya kadar değiştiği eski bir Çin dramatik sanatı olan “bian lian”a atıfta bulunuyor. Görünüşe göre grup, lakabı şifreleme hızıyla ilgili bir övünç olarak benimsedi.

CISA, grubun ağlara ilk erişimini, muhtemelen ilk erişim aracılarından veya kimlik avı yoluyla elde edilen, güvenliği ihlal edilmiş uzak masaüstü protokolü kimlik bilgileri aracılığıyla elde ettiğini söylüyor.

CISA, bir ağa girdikten sonra, BianLian bilgisayar korsanlarının TeamViewer gibi uzaktan yönetim araçlarını kurmanın yanı sıra her kurbana özel özel bir arka kapı yerleştirdiğini söylüyor.

FBI ayrıca BianLian grubu aktörlerinin yerel yönetici hesaplarını etkinleştirdiğini ve kimlik bilgilerini değiştirdiğini gözlemledi. Bilgisayar korsanları, Windows Defender gibi virüsten koruma araçlarını ve virüsten koruma programlarını Windows ortamına entegre etmek için bir Microsoft standardı olan kötü amaçlı yazılımdan koruma tarama arabirimini devre dışı bırakmak için Windows yardımcı programlarını kullanır.

Bilgisayar korsanları, PowerShell betiklerini kullanarak hassas dosyaları arar ve onları gasp için sızdırır.

BianLian, her kurban şirket için benzersiz kripto para cüzdanlarında ödeme alıyor ve kurbanı fidyeyi ödemeye zorlamak için ek teknikler kullanıyor.

Tehdit aktörleri fidye notları dağıtmak için kurban ağındaki yazıcıları kullanıyor ve kurban şirketlerin çalışanları tehdit telefonları aldıklarını bildirdi.