CISA, il gruppo BianLian ransomware cambia tattica

Un avviso di sicurezza congiunto delle agenzie governative negli Stati Uniti e in Australia e pubblicato dalla Cybersecurity and Infrastructure Security Agency (CISA) mette in guardia tutte le organizzazioni sulle ultime TTP (Tattiche, Tecniche e Procedure) utilizzate dal noto gruppo ransomware BianLian.

Basandosi sulle indagini FBI e ACSC (Australian Cyber ​​Security Center) di marzo 2023 nell’ambito dell’attività #StopRansomware il bollettino fornisce informazioni utili per adeguare le misure di protezioni e sicurezza contro le minacce ransomware quali BianLian.

In particolare si evince che il gruppo avrebbe abbandonato il modello della doppia estorsione optando per il solo furto di dati senza applicare crittografia.

La tattica della singola estorsione

La singola estorsione sarebbe comunque ancora convincente in quanto la violazione di dati comporta sempre per la vittima danni reputazionali e complicazioni legali, oltre che minare la fiducia dei clienti.

L’avviso di CISA avverte che BianLian dopo aver violato i sistemi utilizzando credenziali RDP valide, acquistate nei mercati underground o acquisite tramite tecniche di ingegneria sociale, utilizzerebbe una backdoor personalizzata scritta in Go, strumenti commerciali di accesso remoto e script da riga di comando per la ricognizione della rete.

L’esfiltrazione finale dei dati avverrebbe tramite il File Transfer Protocol (FTP), lo strumento Rclone o il servizio hosting Mega. Gli attori del gruppo BianLian estorcono quindi denaro minacciando di rilasciare dati se il pagamento non viene effettuato e di pubblicare i dati esfiltrati su un sito dataleak mantenuto sulla rete Tor.

Per disabilitare i sistemi antivirus, in particolare Windows Defender e Anti-Malware Scan Interface (AMSI), gli attori dietro il gruppo sfrutterebbero PowerShell e Windows Command Shell, mentre manipolerebbero il registro di Windows per neutralizzare i prodotti di sicurezza Sophos.

Misure di Mitigazione

FBI, CISA e ACSC incoraggiano le organizzazioni di infrastrutture critiche e le organizzazioni di piccole e medie dimensioni ad attuare le raccomandazioni nella sezione Mitigazioni di questo avviso per ridurre la probabilità e l’impatto di BianLian e altri incidenti ransomware“, si legge nel bollettino congiunto.

Tra le azioni da intraprendere e consigliate per mitigare le minacce informatiche causate dal ransomware BianLian e dall’estorsione di dati si menzionano:

  • Limitare rigorosamente l’uso di RDP e altri servizi di desktop remoto.
  • Disattivare le attività e le autorizzazioni degli script.
  • Limitare l’utilizzo di PowerShell e aggiornare Windows PowerShell o PowerShell Core alla versione più recente.

Ulteriori dettagli tecnici e gli IoC sono disponibili negli advisory completi.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.