美国和澳大利亚的机构发布联合网络安全顾问BianLian Ransomware组

联邦调查局研究会和中国钢铁工业协会联合发布的网络安全顾问讨论BianLian ransomware组。

背景

的一部分# StopRansomware运动,美国联邦调查局(FBI),网络安全和基础设施安全机构(CISA)在美国和澳大利亚网络安全中心(中心)联合发布的网络安全咨询(CSA aa23 - 136)讨论了BianLian ransomware组。咨询详情的战术、技术和程序(ttp)和妥协(国际石油公司)与集团相关指标及其对应的恶意软件。

一个新的# ransomware组命名# BianLian宣称已经破解# Mooresville学校(@MrsvlPioneers),在印第安纳州,公立学校区。这个组织声称被偷~ 4200学生记录包含电话号码,电子邮件地址,社会安全号码…pic.twitter.com/QWECxn62L9

- BetterCyber (@_bettercyber_)2022年7月11日

推特在2022年7月从BetterCyber讨论“新”ransomware叫BianLian团体

的BianLian ransomware操作出现在2022年6月,在过去的一年一直负责针对关键基础设施的袭击数量在美国和澳大利亚。集团最初喜欢double-extortion技术,战术数据加密在受害者的机器也很可能给操作员的基础设施,然后卖弄风骚的数据泄漏网站上广告公开耻辱和诱使受害者支付赎金。这种技术开创了迷宫ransomware集团早在2019年,这一现象我们讨论Ransomware生态系统报告。

虽然这种技术推动ransomware到新的高度,根据联合咨询,BianLian的战术改变只漏出2023年1月,大约在同一时间可自由发布的工具是停住。在我们BianLian的转变与发现2022年的威胁环境报告,我们观察到extortion-only攻击的声望的增加。

分析

战术、技术和程序

根据网络安全咨询,BianLian收益首次访问通过妥协远程桌面协议(RDP)凭证,这被认为是获得从最初访问经纪人或钓鱼攻击。一旦受害者网络被破坏,使用自定义编写的后门去量身定制为每个受害者。此外,该集团将下载远程管理工具,如TeamViewer或Atera代理,并创建本地管理员帐户维护持久性。

国防逃税,禁用Windows防火墙和反恶意软件扫描界面(AMSI)使用PowerShell和Windows命令Shell。BianLian演员也修改注册表键禁用篡改保护Sophos服务,该组织可以卸载杀毒服务。

在发现阶段,集团已观察到使用工具,如先进的端口扫描器和SoftPerfect网络扫描器识别开放端口网络受害者和发现共享文件夹。集团利用SharpShares识别网络共享和PingCastle列举和地图受害者Active Directory(广告)。

通过环境、横向移动集团从多个来源收集凭证。找到当地,无担保凭证,使用Windows命令Shell,并观察到从当地安全部门子系统中提取凭证服务(补丁)内存,蛮干RDP密码使用RDP识别器或检查RDP漏洞,并试图访问被忽略。说域数据库。

为数据漏出,使用文件传输协议(FTP), Rclone,至少在一个实例中,文件共享服务大型将敏感数据从网络受害者。

潜在的使用Zerologon (cve - 2020 - 1472)

根据咨询,法医工件上找到妥协系统表明,该组织利用cve - 2020 - 1472一种特权升级漏洞被称为Zerologon可允许攻击者妥协一个域控制器。Zerologon一直广泛的使用由演员披露以来,各种类型的威胁。事实上,cve - 2020 - 1472是前5名中连续两年在漏洞列表2020威胁景观回顾和2021威胁景观回顾报告。

减少你的接触通过识别受影响的系统

当我们回顾的列表应该讨论的咨询,我们的站得住脚的身份曝光(原名Tenable.ad)解决方案可以帮助组织审查指标的接触如无担保的配置Netlogon协议和硬化ransomware攻击不足以及利用指标的攻击cve - 2020 - 1472。我们强烈建议审查你的广告环境,作为你的一部分ransomware防备战略关注配置错误,可能危及您的组织。

的成立一个管理平台超出传统的脆弱性管理,专注于发现和补救的公开披露常见的漏洞和风险敞口(cf)。基本任何风险管理计划的一部分,成立一个包括数据配置问题、漏洞和攻击路径在光谱的资产和技术——包括标识解决方案(例如,Active Directory);云配置和部署;和web应用程序。

获得更多的信息

• 联合CSA (aa23 - 136 a) BianLian Ransomware组
• 站得住脚的插件覆盖cve - 2020 - 1472

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于成立一个现代风险管理平台的攻击表面。