Fidye yazılımı alanına BianLian adlı yeni bir oyuncu, faaliyetleri artırıyor ve şimdiden Avustralya, Kuzey Amerika ve Birleşik Krallık’taki kuruluşları hedef aldı.
Siber güvenlik firması Redacted’in bir tavsiyesine göre, BianLian’ın yeni komuta ve kontrol (C&C) sunucularını çevrimiçi hale getirme oranında “rahatsız edici” bir artış oldu.
Fidye yazılımı, Google tarafından oluşturulan açık kaynak programlama dili Golang (Go) ile oluşturuldu ve SonicWall VPN cihazlarını ve Microsoft Exchange Server ProxyShell güvenlik açığı zincirini (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) hedefliyor. ).
“Büyümedeki bu ani patlamanın kesin nedenini bilme konusunda bilgimiz olmasa da, bu, operasyonel tempolarını artırmaya hazır olduklarının işareti olabilir, ancak nedeni ne olursa olsun, daha fazla kaynağa sahip bir fidye yazılımı operatörünün sağladığı pek iyi bir şey yok. onlara,” dedi araştırmacılar Cuma yazısı.
Geçen ay fidye yazılımıyla ilgili ayrıntıları yayınlayan Cyble Research Labs araştırmacılarına göre BianLian, Temmuz ortasında ilk kez piyasaya çıktığından beri popülaritesini artırıyor.
BianLian Fidye Yazılım Saldırı Akışı
Fidye yazılımı çetesi, saldırılarına başlamak için, izleme etkinlikleri için bir Web kabuğu veya ngrok yükü yüklemek üzere ProxyShell güvenlik açıkları aracılığıyla elde edilen erişimden yararlanır. Araştırmacılar, grubun, verileri ararken ve şifrelenecek makineleri tanımlarken, tespit edilmekten kaçınmaya ve gözlemlenebilir olayları en aza indirmeye özen gösterdiğini söyledi.
Raporda, Redacted tarafından gözlemlenen bir kampanyada, BianLian’ın ağ profili oluşturma ve yanal hareket için en sık standart “karadan yaşam” (LoL) tekniklerini kullandığı belirtildi. Bunlar, kullanıcı izinlerini eklemek ve/veya değiştirmek için net.exe’yi içerir; ana bilgisayar güvenlik duvarı ilkelerini yapılandırmak için netsh.exe; ve uzak masaüstü ve güvenlik ilkesi uygulamasıyla ilgili çeşitli kayıt defteri ayarlarını düzenlemek için reg.exe.
LoL tekniklerinden yararlanmaya ek olarak, grubun kalıcı ağ erişimini sürdürmek için alternatif bir yol olarak özel bir implant yerleştirdiği de bilinmektedir. Bu “basit ama etkili” arka kapının temel amacı, uzak bir sunucudan rastgele yükleri almak, bunları belleğe yüklemek ve ardından yürütmektir.
Raporda, “BianLian, operasyonlarını ağda karşılaştıkları yeteneklere ve savunmalara göre ayarlayarak, yanal hareket etme metodolojisinde usta olduklarını gösterdi.”
Agenda, Monster ve RedAlert gibi diğer yeni platformlar arası fidye yazılımları gibi BianLian da, sistemde yüklü güvenlik çözümleri tarafından algılanmadan dosya şifreleme kötü amaçlı yazılımını yürütmek için sunucuları Windows Güvenli Modda başlatabilir. Güvenlik engellerini aşmak için alınan diğer önlemler arasında anlık görüntülerin silinmesi, yedeklerin temizlenmesi ve Golang şifreleme modülünün Windows Uzaktan Yönetim (WinRM) ve PowerShell komut dosyaları aracılığıyla çalıştırılması yer alıyor.
Grubun ortaya çıkışı, Go’yu temel dil olarak kullanan artan sayıda tehdidi artırarak, düşmanların daha sonra birden çok platform için derlenebilecek tek bir kod tabanında hızlı değişiklikler yapmalarına olanak tanır.
Fidye Yazılımı Vahşi Çalışıyor
Acronis’in yıl ortası siber tehditler raporu, fidye yazılımlarının devlet kurumları da dahil olmak üzere büyük ve orta ölçekli işletmeler için en büyük tehdit olmaya devam ettiğini gösterirken, Sophos’un araştırması fidye yazılımı çetelerinin birden fazla saldırıyı düzenlemek için birlikte çalışıyor olabileceğini gösteriyor.
Güvenlik ortamını daha da karmaşık hale getiren şey, tehdit aktörlerinin fidye yazılımı saldırıları sırasında sızdırılan verileri takip eden saldırılarda bulmasını ve kullanmasını kolaylaştıran veri pazaryerlerinin ortaya çıkmasıdır.
Fidye yazılımı saldırılarının artan risk düzeyine ve karmaşıklığına rağmen, bir BlackBerry anketine göre siber sigortalı işletmeler arasında bile fidye yazılımı kapsamı eksik.
Redacted tavsiyesi, fidye yazılımı aktörlerinin oluşturduğu tehdidi azaltmaya çalışırken katmanlı bir yaklaşım kullanılmasını tavsiye etti.
Raporda, “En yaygın istismar tekniklerinden kaçınmak için saldırı yüzeyinizi küçültmeye odaklanılmalı, aynı zamanda bir uzlaşma kaçınılmaz olduğunda hızlı ve etkili bir şekilde hareket etmeye hazırlanmalı” dedi.
Bu stratejinin temeli, çok faktörlü kimlik doğrulamayı (MFA), güvenli yedeklemeleri ve bir olay müdahale planını içerir.