0
0
O grupo de ransomware BianLian está aumentando suas operações e amadurecendo como um negócio, movendo-se mais rapidamente do que nunca para comprometer os sistemas. Também está se afastando da criptografia para táticas de extorsão de roubo de dados puros, em ataques cibernéticos que até agora causaram pelo menos 116 vítimas, descobriram os pesquisadores.
O BianLian, descoberto pela primeira vez em julho passado, não se desviou muito de sua tática inicial: implantar um backdoor baseado em go personalizado assim que se infiltrar em uma rede. A funcionalidade do malware permanece essencialmente a mesma, exceto por alguns ajustes, disseram pesquisadores da Redacted em um post de blog publicado hoje.
No entanto, a rapidez com que o servidor de comando e controle do grupo (C2) implanta o backdoor aumentou, e o grupo notavelmente se afastou do resgate de arquivos criptografados para se concentrar mais na pura extorsão por vazamento de dados como um meio de extrair pagamentos de vítimas, disseram os pesquisadores.
“A BianLian descobriu que não precisa realmente criptografar as redes das vítimas para receber o pagamento”, diz Adam Flatley, vice-presidente de inteligência da Redacted.
Essa mudança para o foco na extorsão por vazamento de dados é “extremamente perigosa”, porque permite que o grupo dedique tempo e esforço para adaptar as ameaças a vítimas específicas e exercer mais pressão para pagar resgates, acrescenta.
“BianLian terá uma posição de pressão ainda mais forte ao tentar forçar suas vítimas a não trabalhar com o FBI, a não relatar o incidente e apenas pagar o resgate e seguir em frente”, diz Flatley.
A motivação da BianLian para mudar sua estratégia de criptografia é provavelmente uma resposta ao lançamento da Avast de uma ferramenta de criptografia para organizações que foram alvos do grupo para desbloquear seus arquivos, observaram os pesquisadores.
Dado que o BianLian usou métodos de dupla extorsão desde o início – ameaçando liberar on-line os dados roubados de uma organização vítima se um resgate não fosse pago em um determinado prazo – o grupo decidiu pular a etapa de criptografia e ir direto para a extorsão, de acordo com Redigido.
Amadurecendo como um negócio de ataque cibernético
Essa mudança faz parte da evolução e amadurecimento geral da BianLian como empresa, disseram os pesquisadores. Embora desde o início o grupo tenha “um alto nível de segurança operacional e habilidade na penetração da rede”, eles agora parecem estar atingindo seu ritmo em termos do negócio real de administrar uma gangue de extorsão cibercriminosa.
De fato, afastar-se do método de criptografia exclusivo exibido nos primeiros ataques é uma jogada de negócios inteligente, diz Flatley, principalmente como uma tática de evasão. Como o roubo de dados não causa interrupções na rede nem nos negócios, ele chama menos atenção para a atividade da BianLian, “o que significa que suas operações podem passar mais despercebidas”, diz ele.
“Quando os serviços de negócios são interrompidos , é muito difícil manter um evento silencioso porque clientes e parceiros de negócios começam a perceber que os serviços estão inativos, por exemplo”, diz Flatley.
Outra coisa que o grupo tem para alcançar o sucesso com essa nova estratégia é um tempo mais rápido para implantar um backdoor em uma rede depois de obter o acesso inicial, disseram os pesquisadores. Essa velocidade está ligada ao forte jogo de servidor C2 da BianLian, com o grupo trazendo cerca de 30 novos online a cada mês, cada um com uma vida útil típica de cerca de duas semanas, disseram eles.
Depois que o BianLian estabelece uma conexão C2 com a rede da vítima, ele agora implanta seu backdoor em poucos minutos – o que significa que, quando os administradores de segurança descobrirem um BianLian C2, “é muito provável que o grupo já tenha estabelecido uma posição sólida na rede da vítima. rede”, disseram os pesquisadores.
Embora seja difícil saber quantas vítimas BianLian comprometeu, em 9 de março, o grupo detalhou 116 organizações de vítimas em seu site de vazamento, observaram os pesquisadores. Dessas vítimas, as organizações de saúde representam a maior indústria vertical vitimada pelo grupo – uma mudança dos primeiros ataques , que se concentravam principalmente no setor de mídia e entretenimento.
Fortalecendo a defesa cibernética contra roubo e extorsão de dados
Com o BianLian e outros grupos de ransomware voltados para táticas de extorsão pura, as empresas também devem fazer mudanças na forma como se defendem contra esses ataques, disseram os pesquisadores.
“Eles precisarão se concentrar ainda mais em técnicas que possam ajudá-los a evitar o pagamento do resgate em cenários de dupla extorsão”, diz Flatley.
Algumas dessas técnicas incluem uma estratégia de prevenção mais forte contra ataques facilmente frustrados, bem como uma detecção mais rápida de invasões de rede “inevitáveis”, diz ele. Isso pode ser feito “seguindo as melhores práticas de senhas e autenticação multifator, corrigindo agressivamente seus sistemas em um regime priorizado e aplicado e fornecendo treinamento de segurança para seus funcionários”, escreveu Flatley em um post de blog sobre como as organizações podem evitar pagar um resgate.
Reforçar a resposta a incidentes, bem como ter um plano antes de um ataque para se preparar para pedidos de resgate, também pode ajudar as organizações a evitar o pior resultado de ataques baseados em extorsão, diz Flatley.
Como parte do primeiro, Flatley observa em seu post que as organizações devem garantir que tenham bons backups do sistema, que esses backups sejam protegidos de forma eficaz para que um invasor não possa acessá-los e que o processo de restauração seja totalmente testado para garantir que funcione corretamente.
FONTE: DARK READING