آذر ۴, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

سازمان CISA اعلام کرده که باج‌افزار BianLian اکنون تنها بر سرقت داده‌ها تمرکز دارد.

سازمان CISA اعلام کرده که باج‌افزار BianLian اکنون تنها بر سرقت داده‌ها تمرکز دارد.

عملیات باج‌افزار BianLian تاکتیک‌های خود را تغییر داده و طبق توصیه‌نامه به‌روزشده‌ای از سوی آژانس امنیت سایبری و زیرساخت ایالات متحده، FBI و مرکز امنیت سایبری استرالیا، به‌طور عمده به یک گروه اخاذی مبتنی بر سرقت داده تبدیل شده است.

این اطلاعات جدید در به‌روزرسانی یک توصیه‌نامه مشترک که در ماه مه توسط همین نهادها منتشر شده بود ارائه شده است. در آن توصیه‌نامه هشدار داده شده بود که باج‌افزار BianLian تاکتیک‌های خود را تغییر داده و از روش‌هایی مانند استفاده از اطلاعات سرقت‌شده برای دسترسی از راه دور (RDP)، درب‌پشتی‌های سفارشی مبتنی بر Go، ابزارهای تجاری دسترسی از راه دور، و تغییرات هدفمند در رجیستری ویندوز استفاده می‌کند.

BianLian به تدریج به روش اخاذی مبتنی بر سرقت داده روی آورده و تاکتیک رمزگذاری فایل‌ها را کنار گذاشته بود، به‌ویژه پس از آنکه شرکت Avast در ژانویه ۲۰۲۳ یک ابزار رمزگشایی برای این خانواده باج‌افزار منتشر کرد.

گروه BianLian در ابتدا از مدل اخاذی دوگانه استفاده می‌کرد که در آن پس از استخراج داده‌ها، سیستم‌های قربانیان را رمزگذاری می‌کردند؛ اما در حدود ژانویه ۲۰۲۳ بیشتر به اخاذی مبتنی بر استخراج داده روی آوردند و در حدود ژانویه ۲۰۲۴ به‌طور کامل به اخاذی صرفاً مبتنی بر استخراج داده تغییر جهت دادند.” این مطلب در توصیه‌نامه به‌روزشده CISA آمده است.

نکته دیگری که در توصیه‌نامه مورد توجه قرار گرفته این است که BianLian اکنون تلاش می‌کند منشأ خود را با استفاده از نام‌های به زبان‌های خارجی پنهان کند. با این حال، نهادهای اطلاعاتی اطمینان دارند که گردانندگان اصلی و چندین همکار این گروه در روسیه مستقر هستند.

توصیه‌نامه همچنین با تکنیک‌ها، تاکتیک‌ها و رویه‌های جدید گروه باج‌افزار به‌روزرسانی شده است:

زیرساخت‌های ویندوز و ESXi را هدف قرار می‌دهد و احتمالاً از زنجیره اکسپلویت ProxyShell (شامل CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207) برای دسترسی اولیه استفاده می‌کند.

از Ngrok و نسخه تغییر‌یافته Rsocks برای پنهان کردن مقاصد ترافیک از طریق تونل‌های SOCKS5 استفاده می‌کند.

از آسیب‌پذیری CVE-2022-37969 برای افزایش سطح دسترسی در ویندوز ۱۰ و ۱۱ سوءاستفاده می‌کند.

از فشرده‌سازی UPX برای دور زدن شناسایی استفاده می‌کند.

برای جلوگیری از شناسایی، فایل‌های اجرایی و وظایف را به نام سرویس‌های معتبر ویندوز و محصولات امنیتی تغییر نام می‌دهد.

حساب‌های مدیر دامنه و Azure AD ایجاد می‌کند، اتصالات ورود به شبکه را از طریق SMB انجام می‌دهد و وب‌شل‌ها را روی سرورهای Exchange نصب می‌کند.

از اسکریپت‌های PowerShell برای فشرده‌سازی داده‌های جمع‌آوری شده قبل از استخراج استفاده می‌کند.

در یادداشت باج‌افزار، یک شناسه جدید Tox برای ارتباط با قربانیان قرار داده شده است.

یادداشت‌های باج‌افزار را بر روی چاپگرهای متصل به شبکه‌ی نفوذ شده چاپ می‌کند و برای وارد آوردن فشار به کارکنان شرکت‌های قربانی تماس می‌گیرد.

بر اساس موارد فوق، CISA توصیه می‌کند که استفاده از RDP به‌طور شدید محدود شود، مجوزهای دسترسی به خط فرمان و اسکریپت‌نویسی غیرفعال گردد و استفاده از PowerShell در سیستم‌های ویندوز محدود شود.

آخرین فعالیت‌های BianLian

باج‌افزار BianLian که از سال ۲۰۲۲ فعال است، تا کنون سال پرباری داشته و ۱۵۴ قربانی را در پورتال اخاذی خود در دارک وب فهرست کرده است.

اگرچه بیشتر قربانیان سازمان‌های کوچک تا متوسط هستند، BianLian اخیراً نقض‌های قابل توجهی داشته است، از جمله حملات به Air Canada، Northern Minerals و پزشکان سلامت کودکان بوستون.

گروه تهدید اخیراً اعلام کرده است که به یک تولیدکننده جهانی پوشاک ورزشی ژاپنی، یک کلینیک برجسته در تگزاس، یک گروه معدنی جهانی، یک مشاوره مالی بین‌المللی و یک مرکز پوست بزرگ در ایالات متحده حمله کرده است، اما این موارد هنوز تأیید نشده‌اند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب