ABD ve Avustralya’daki devlet kurumlarından alınan ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan ortak bir Siber Güvenlik Danışmanlığı, kuruluşları BianLian fidye yazılımı grubu tarafından kullanılan en son taktikler, teknikler ve prosedürler (TTP’ler) konusunda uyarıyor.
BianLian, Haziran 2022’den bu yana ABD ve Avustralya’daki kritik altyapıdaki varlıkları hedefleyen bir fidye yazılımı ve veri gaspı grubudur.
#StopRansomware çabasının bir parçası olan danışma belgesi, Mart 2023 itibarıyla Federal Soruşturma Bürosu (FBI) ve Avustralya Siber Güvenlik Merkezi’nin (ACSC) araştırmalarına dayanmaktadır. Savunuculara korumaları ayarlamalarına ve güçlendirmelerine olanak tanıyan bilgiler sağlamayı amaçlamaktadır. BianLian fidye yazılımına ve diğer benzer tehditlere karşı güvenlik duruşları.
BianLian saldırı taktikleri
BianLian başlangıçta, kurban ağlarından özel verileri çaldıktan sonra sistemleri şifreleyen ve ardından dosyaları yayınlamakla tehdit eden bir çifte gasp modeli kullandı.
Ancak, Avast’ın fidye yazılımı için bir şifre çözücü yayınladığı Ocak 2023’ten bu yana grup, sistemleri şifrelemeden veri hırsızlığına dayalı şantaj yöntemine geçti.
Olaylar, esas olarak kurbanın itibarının zedelenmesiyle gelen, müşteri güvenini baltalayan ve yasal zorluklara yol açan veri ihlalleri olduğundan, bu taktik hala zorlayıcıdır.
CISA’nın danışma belgesi, BianLian’ın, muhtemelen ilk erişim aracılarından satın alınan veya kimlik avı yoluyla elde edilen geçerli Uzak Masaüstü Protokolü (RDP) kimlik bilgilerini kullanarak sistemleri ihlal ettiği konusunda uyarır.
BianLian daha sonra Go’da yazılmış özel bir arka kapı, ticari uzaktan erişim araçları ve ağ keşfi için komut satırı ve betikler kullanır. Son aşama, Dosya Aktarım Protokolü (FTP), Rclone aracı veya Mega dosya barındırma hizmeti aracılığıyla kurban verilerinin çalınmasından oluşur.
BianLian, güvenlik yazılımı tarafından algılanmaktan kaçınmak için, antivirüs araçlarıyla ilişkili çalışan işlemleri devre dışı bırakmak için PowerShell ve Windows Komut Kabuğu’ndan yararlanır. Windows Kayıt Defteri, Sophos güvenlik ürünleri tarafından sağlanan kurcalamaya karşı korumayı etkisiz hale getirmek için de kullanılır.
Önerilen azaltmalar
Önerilen azaltıcı önlemler, RDP ve diğer uzak masaüstü hizmetlerinin kullanımının sınırlandırılması, komut satırı ve komut dosyası oluşturma etkinliklerinin devre dışı bırakılması ve kritik sistemlerde PowerShell kullanımının kısıtlanmasıyla ilgilidir.
Danışma belgesi, ağı savunmaya yardımcı olabilecek birkaç önlem önerir:
- Ağınızdaki uzaktan erişim araçlarının ve yazılımlarının yürütülmesini denetleyin ve kontrol edin.
- RDP gibi uzak masaüstü hizmetlerinin kullanımını kısıtlayın ve sıkı güvenlik önlemlerini uygulayın.
- PowerShell kullanımını sınırlayın, en son sürüme güncelleyin ve gelişmiş günlük kaydını etkinleştirin.
- İdari hesapları düzenli olarak denetleyin ve en az ayrıcalık ilkesini uygulayın.
- Güvenli ve çevrimdışı olarak depolanan birden çok veri kopyasıyla bir kurtarma planı geliştirin.
- Uzunluk, depolama, yeniden kullanım ve çok faktörlü kimlik doğrulama dahil olmak üzere parola yönetimi için NIST standartlarına uyun.
- Yazılım ve ürün yazılımını düzenli olarak güncelleyin, gelişmiş güvenlik için ağları bölümlere ayırın ve ağ etkinliğini aktif olarak izleyin.
“FBI, CISA ve ACSC, kritik altyapı kuruluşlarını ve küçük ve orta ölçekli kuruluşları, BianLian ve diğer fidye yazılımı olaylarının olasılığını ve etkisini azaltmak için bu danışma belgesinin Hafifletmeler bölümündeki önerileri uygulamaya teşvik ediyor.” – CISA.
Önerilen hafifletmeler, uzlaşma göstergeleri (IoC’ler), komut izlemeleri ve BianLian teknikleri hakkında daha ayrıntılı bilgiler, CISA ve ACSC’nin tam bültenlerinde mevcuttur.