Avustralya Siber Güvenlik Merkezi (ACSC) ve Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), çetenin taktikleri, teknikleri ve prosedürlerinde hızlı bir evrim gözlemledikten sonra tehlikeli BianLian fidye yazılımı operasyonunun faaliyetleri hakkında güncellenmiş istihbarat yayınladı. (TTP’ler).
Conti mürettebatının ölümünün ardından siber suç ortamındaki değişim sırasında ilk kez 2022’de LockBit ile birlikte öne çıkan birkaç çeteden biri olan BianLian’ın, Çince ismine rağmen neredeyse kesin olarak Rusya’da yerleşik olduğu – muhtemelen bir şaşırtma girişimi.
Geçtiğimiz birkaç yılda hem Avustralya hem de ABD’deki kritik ulusal altyapı (CNI) operatörlerini hedef alarak adından söz ettirdi; kurbanların Birleşik Krallık’ta da olduğu iddia edildi.
Genellikle geçerli Uzak Masaüstü Protokolü (RDP) kimlik bilgilerini çalarak ve verilerini sızdırarak kurbanlarının ortamlarına erişim elde eden BianLian, geçmişte standart çift gasp modelini kullanmış, kurbanların sistemlerini şifrelemiş ve daha sonra, kurbanların sistemlerini şifreledikleri takdirde verilerini sızdırmakla tehdit etmişti. karşılığını vermedi.
Ancak Avustralyalılar, BianLian’ın 2023’te sistemlerin bozulmadan bırakıldığı ve mağdurların, ödeme yapılmazsa mali, ticari ve hukuki sonuçlar konusunda uyarıldığı şifreleme tabanlı şantaj yöntemine geçmeye başladığını söyledi. Siber suçlular arasında bu teknik, daha az teknik çalışma gerektirdiğinden mağduru şantaj yapmak için biraz daha kolay bir yöntem olarak değerlendirilebilir. BianLian kesinlikle öyle düşünüyor gibi görünüyor çünkü Ocak 2024’ten beri yalnızca bu yöntemi kullanıyorlar.
ACSC, “FBI, CISA ve ACSC, kritik altyapı kuruluşlarını ve küçük ve orta ölçekli kuruluşları, BianLian ve diğer fidye yazılımı ve veri gaspı olaylarının olasılığını ve etkisini azaltmak için danışma belgesinin hafifletmeler bölümündeki önerileri uygulamaya teşvik ediyor” dedi. .
Yeni teknikler
Gözlemlenen en önemli değişiklik, şifreleme için geleneksel fidye yazılımı dolabının terk edilmesi ve standart fidye yazılımı notunun bunu yansıtacak şekilde güncellenmesidir; bunların örnekleri danışma belgesinde verilmiştir.
Ayrıca kurbanlarına ödeme yapmaları için baskı yapmak amacıyla daha yüksek baskı tekniklerini de benimsedi. Artık fidye notunun kopyalarını ofis yazıcılarına gönderiyor ve etkilenen şirketlerin çalışanları tehdit edici telefon çağrılarına maruz kalıyor.
Bununla birlikte, saldırılarına hazırlanırken çete, savunmacıların dikkatli olması gereken bir dizi başka güncellenmiş teknik de kullanıyor. ACSC’de tam bir özet mevcuttur, ancak yetkililer tarafından gözlemlenen bazı değişiklikler arasında, hem Microsoft Windows hem de VMware ESXi altyapısının halka açık uygulamalarının hedeflenmesi ve ilk erişim için eski ProxyShell istismar zincirinden yararlanılması yer almaktadır. RDP’ye ek olarak.
BianLian, hedefine girdikten sonra artık kurbana özel Go kodlu özel bir arka kapı yerleştiriyor ve buradan uzaktan yönetim ve erişim yazılımını kuruyor. Kalıcılık ve komuta-kontrol oluşturmak için AnyDesk ve TeamViewer gibi popüler ürünleri tercih ediyor (C2) ) amaçlar. Artık kurban ağlarından tüneller oluşturmak ve C2 trafiğinin nereye gittiğini gizlemek için Ngrok ters proxy aracını ve muhtemelen açık kaynaklı Rsocks yardımcı programının değiştirilmiş bir versiyonunu kullanıyor gibi görünüyor.
Kurban ortamında ayrıcalıklarını arttırmak için yakın zamanda CVE-2022-37969’dan yararlanmaya başladı. Microsoft’un Eylül 2022 Salı Yaması güncellemesinde ortadan kaldırmaya çalıştığı 64 hata arasında yer alan bu sıfır gün, Windows Ortak Günlük Dosya Sistemi Sürücüsünde bir ayrıcalık yükselmesi güvenlik açığıdır ve başarıyla istismar edilir ve yönetici düzeyinde haklar sağlar.
Geçmişte BianLian, Windows Defender ve Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü (AMSI) gibi antivirüs araçlarını devre dışı bırakmak için Power Shell ve Windows Komut Kabuğu’ndan yararlanıyordu. Artık ikili dosyaları ve zamanlanmış görevleri orijinal Windows hizmetleri ve güvenlik ürünleriyle yeniden adlandırdığı gözlemlendi ve algılama araçlarını atlatmak amacıyla kodlarını gizlemek için UPX kullanarak yürütülebilir dosyaları paketlemeye çalıştığı görülüyor.
Kalıcılık oluşturmak ve daha fazla yanal hareketi kolaylaştırmak söz konusu olduğunda, çetenin geçerli hesaplarla PsExec ve RDP kullandığı gözlemlendi, ancak aynı zamanda Sunucu İleti Bloğu (SMB) protokolünü kullandıkları, Exchange sunucularına web kabukları yükledikleri ve Azure Active oluşturduğu da tespit edildi. Dizin (AD) hesapları.
Düşmanını tanı
MITRE ATT&CK tabanlı siber saldırı simülasyonlarında uzmanlaşan Adversary Araştırma Ekibi ve AttackIQ’nun mühendislik müdürü Andrew Costis, savunmacıların BianLian gibi çeteler tarafından kullanılan genellikle son derece spesifik TTP’leri anlayıp bunlara karşı test yapmasının hayati önem taşıdığını söyledi.
“Sızıntıya dayalı şantajlara geçiş ilginç, özellikle de BianLian operatörlerinin muhtemelen Rusya’da yerleşik olduklarına ya da kullandıkları gözlemlenen bazı araçlara dayanarak Rusya ile bağları olduğuna inanıldığından” diye gözlemledi.
“Rusya, Ukrayna ve Batı arasında ortaya çıkan mevcut jeopolitik durum göz önüne alındığında, bu, kurbanlarını daha hızlı vurmak ve sonuçta daha fazla kurbanı hedef almak için stratejik bir hamle olabilir. Costis, Computer Weekly’e e-postayla gönderilen yorumlarda şöyle konuştu: “Çifte şantajın önceliğinin kaldırılması, çifte şantaj müzakereleri her iki taraf için de zaman ve kaynak gerektirdiğinden potansiyel olarak zaman kazandıran bir strateji olabilir.”
“Değer perspektifinden bakıldığında, taktikteki bu değişikliğin amacı, şu anda şifrelemeye veya çifte gasp etmeye değer vermediklerini gösteriyor. Diğer fidye yazılımı gruplarının da aynı yolu izleyip izlemeyeceğini görmek kesinlikle ilginç olacak.”