Bu hafta yayınlanan bir danışma belgesinde, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Avustralya Siber Güvenlik Merkezi (ACSC) ile birlikte kuruluşları fidye yazılımı geliştiricisi ve veri gaspı grubu tarafından yapılan saldırılara karşı uyarıyor. BianLian.
BianLian 2022’den beri faaliyet gösteriyor. Geçmişte fidye yazılımı çetesi, kurbanların sistemlerini şifreleyip verileri çaldıkları ve ödeme alınmazsa elde edilen verileri açığa çıkarmakla tehdit ettikleri çifte gasp modeli kullanmaya odaklanmıştı. Ancak uyarıda, Ocak ayında BianLian’ın saldırı yöntemlerini şifrelemeyle liderlik etmek yerine öncelikle hırsızlığa dayalı gasplara odaklanacak şekilde değiştirdiği uyarısında bulunuldu.
Grup, kurbanların ağlarına erişmek için çalınan uzak masaüstü protokolü (RDP) kimlik bilgilerinin yanı sıra ağda dolaşmak için açık kaynaklı araçlar ve komut satırı komut dosyası çalıştırma kullanıyor. Ardından, Dosya Aktarım Protokolü (FTP), Rclone veya Mega aracılığıyla verileri sızdırır. Bu tamamlandıktan sonra, grup kurbanlarına şantaj yapmaya devam ediyor.
Siber güvenlik servis sağlayıcısı [redacted] Mart ayında grup hakkında, üst düzey operasyonel güvenlik ve beceri penetrasyonunu ve bir fidye yazılımı organizasyonu olarak çalışırken devam eden büyümesini ayrıntılarıyla açıklayan bir araştırma yayınladı. Çetenin ABD ve Avustralya’daki kritik altyapı kuruluşlarının yanı sıra profesyonel hizmetler ve mülk geliştirme kuruluşlarını hedef almasına izin veren işte bu taktikler, teknikler ve prosedürlerdir (TTP’ler).
Contrast Security’de siber stratejiden sorumlu kıdemli başkan yardımcısı Tom Kellerman, danışma belgesine yanıt olarak, “Çoğu zaman, veri sızıntısı yoluyla gasp, tercih edilen yöntemdir,” diyor. “Değişim, yalnızca fidye yazılımının şifresini çözmek için değil, aynı zamanda onu sürdüren altyapıyı da bozmak için kolluk kuvvetleri ve siber topluluk arasındaki başarılı işbirliğinden kaynaklanıyor.”
CISA, kuruluşları, bu saldırılar ışığında uzaktan erişim araçlarını denetleme, uzaktan erişim yazılımının yürütülmesi için günlükleri gözden geçirme ve gelişmiş PowerShell günlük kaydını etkinleştirme gibi danışma belgesinde sağladığı azaltmaları uygulamaya teşvik eder.