ФБР совместно с агентством CISA и Австралийским центром кибербезопасности (ACSC) выпустили информационный бюллетень о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством.
BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак.
Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell. После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости CVE-2022-37969 (оценка CVSS: 7.8), затрагивающую драйвер ” data-html=”true” data-original-title=”CLFS” >CLFS в Windows.
Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory.
Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону.
Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации (MFA) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении.