Новости Принтер как инструмент: новый метод шантажа BianLian охватил критическую инфраструктуру

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
ФБР рассказало, как изменилась тактика киберпреступников в 2024 году.


j4zf0db9dgy7uozu8wq703uwhugp87z0.jpg


ФБР совместно с агентством CISA и Австралийским центром кибербезопасности ( ACSC ) Для просмотра ссылки Войди или Зарегистрируйся о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством.

BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак.

Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell . После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.8), затрагивающую драйвер CLFS в Windows.

Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory.

Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону.

Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации ( MFA ) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении.
 
Источник новости
www.securitylab.ru

Похожие темы