Australijskie Centrum Bezpieczeństwa Cybernetycznego (ACSC) oraz amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) opublikowały aktualne informacje wywiadowcze na temat działalności niebezpiecznej organizacji Działanie oprogramowania ransomware BianLianpo zaobserwowaniu szybkiej ewolucji taktyki, technik i procedur gangu (TTP).
Jeden z wielu gangów, które po raz pierwszy zyskały rozgłos wraz z LockBit w 2022 roku podczas zmian w krajobrazie cyberprzestępczym po śmierci załogi Conti, pomimo chińskiej nazwy, BianLian prawie na pewno ma siedzibę w Rosji – prawdopodobnie jest to próba zaciemnienia.
W ciągu ostatnich kilku lat wyrobił sobie markę, atakując operatorów krajowej infrastruktury krytycznej (CNI) zarówno w Australii, jak i w USA, z ofiarami zgłaszanymi również w Wielkiej Brytanii.
Po uzyskaniu dostępu do środowisk swoich ofiar, zwykle poprzez kradzież ważnych danych uwierzytelniających protokołu Remote Desktop Protocol (RDP) i eksfiltrację ich danych, BianLian od dawna stosował standardowy model podwójnego wymuszenia, szyfrując systemy ofiar, a następnie grożąc wyciekiem ich danych, jeśli nie opłaciło się.
Jednak – jak twierdzą Australijczycy – w 2023 r. BianLian zaczął przechodzić na wymuszenia oparte na szyfrowaniu, podczas których systemy pozostają nienaruszone, a ofiary są ostrzegane o konsekwencjach finansowych, biznesowych i prawnych w przypadku braku płatności. Wśród cyberprzestępców technikę tę można uznać za nieco łatwiejszą metodę wyłudzenia pieniędzy od ofiary, ponieważ wymaga mniej pracy technicznej. BianLian z pewnością tak uważa, ponieważ od stycznia 2024 r. stosuje wyłącznie tę metodę.
„FBI, CISA i ACSC zachęcają organizacje zajmujące się infrastrukturą krytyczną oraz małe i średnie organizacje do wdrożenia tych zaleceń w części poradnika dotyczącej łagodzenia skutków aby zmniejszyć prawdopodobieństwo i wpływ BianLian oraz innych incydentów związanych z oprogramowaniem ransomware i wyłudzaniem danych” – stwierdził ACSC.
Nowe techniki
Najbardziej znaczącą zaobserwowaną zmianą jest rezygnacja z tradycyjnej skrytki na oprogramowanie ransomware w celu szyfrowania i aktualizacja jej standardowej notatki dotyczącej oprogramowania ransomware, aby to odzwierciedlić – której próbki znajdują się w poradni.
Aby wywrzeć presję na swoje ofiary, aby zapłaciły, przyjęła również więcej technik wywierania dużej presji. Obecnie wysyła kopie żądania okupu do drukarek biurowych, a pracownicy dotkniętych firm są odbiorcami telefonów z pogróżkami.
Jednakże w okresie poprzedzającym ataki gang stosuje także szereg innych zaktualizowanych technik, na które obrońcy powinni zwracać uwagę. ACSC udostępnia pełny opis zmian, ale wśród niektórych zmian zaobserwowanych przez władze znajduje się ukierunkowanie na aplikacje publiczne, zarówno w infrastrukturze Microsoft Windows, jak i VMware ESXi, wykorzystując stary łańcuch exploitów ProxyShell w przypadku pierwszego dostępu, oprócz RDP.
Gdy już znajdzie się w swoim celu, BianLian wszczepia teraz niestandardowego backdoora zakodowanego w Go, specyficznego dla ofiary, a następnie instaluje oprogramowanie do zdalnego zarządzania i dostępu. Faworyzuje popularne produkty, w tym AnyDesk i TeamViewer, w celu ustanowienia trwałości oraz wydawania poleceń i kontroli (C2 ) celów. Obecnie wydaje się również, że korzysta z narzędzia odwrotnego proxy Ngrok i prawdopodobnie zmodyfikowanej wersji narzędzia Rsocks o otwartym kodzie źródłowym do tworzenia tuneli z sieci ofiar i ukrywania kierunku, w którym zmierza ruch C2.
Aby zwiększyć swoje uprawnienia w środowisku ofiary, ostatnio zaczął wykorzystywać CVE-2022-37969. Ten dzień zerowy jest jednym z 64 błędów, które Microsoft próbował usunąć we wtorkowej aktualizacji z września 2022 rto luka w zabezpieczeniach sterownika Common Log File System Driver umożliwiająca podniesienie uprawnień, która została pomyślnie wykorzystana i zapewnia uprawnienia na poziomie administratora.
Historycznie rzecz biorąc, firma BianLian wykorzystywała Power Shell i Windows Command Shell do wyłączania narzędzi antywirusowych, takich jak Windows Defender i interfejs skanowania przed złośliwym oprogramowaniem (AMSI). Obecnie zaobserwowano, że zmienia nazwy plików binarnych i zaplanowanych zadań na oryginalne usługi i produkty zabezpieczające systemu Windows i wydaje się, że próbuje pakować pliki wykonywalne przy użyciu UPX w celu ukrycia ich kodu, próbując ominąć narzędzia wykrywające.
Jeśli chodzi o ustanowienie trwałości i ułatwienie dalszego ruchu bocznego, zaobserwowano, że gang używa PsExec i RDP z ważnymi kontami, ale został również zauważony przy użyciu protokołu Server Message Block (SMB), instalując powłoki internetowe na serwerach Exchange i tworząc Azure Active Konta katalogowe (AD).
Poznaj swojego wroga
Andrew Costis, kierownik techniczny zespołu badawczego Adversary Research Team i AtakIQktóra specjalizuje się w symulacjach cyberataków w oparciu o MITRE ATT&CK, stwierdziła, że dla obrońców istotne jest zrozumienie i przetestowanie często bardzo specyficznych TTP używanych przez gangi takie jak BianLian.
„Przejście na wymuszenia oparte na eksfiltracji jest interesujące, zwłaszcza że uważa się, że operatorzy BianLian prawdopodobnie mają siedzibę w Rosji lub są z nią powiązani – na podstawie niektórych narzędzi, których zaobserwowano, że używają” – zauważył.
„W związku z rozwojem obecnej sytuacji geopolitycznej pomiędzy Rosją, Ukrainą i Zachodemmoże to być strategiczne posunięcie polegające na szybszym uderzaniu w ofiary i ostatecznie obieraniu za cel większej liczby ofiar. To pozbawienie priorytetu podwójnego wymuszenia może potencjalnie być strategią oszczędzającą czas, ponieważ negocjacje w sprawie podwójnego wymuszenia wymagają czasu i zasobów po obu stronach” – Costis powiedział Computer Weekly w komentarzach przesłanych e-mailem.
„Z perspektywy wartości intencja tej zmiany taktyki sugeruje, że obecnie nie cenią szyfrowania ani podwójnego wymuszenia. Z pewnością ciekawie będzie zobaczyć, czy inne grupy zajmujące się oprogramowaniem ransomware pójdą ich śladem.”