Принтер как инструмент: новый метод шантажа BianLian охватил критическую инфраструктуру

· SecurityLab.ru · Подписаться

ФБР рассказало, как изменилась тактика киберпреступников в 2024 году.

ФБР совместно с агентством CISA и Австралийским центром кибербезопасности (ACSC) выпустили информационный бюллетень о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством.

BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак.

Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell. После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости CVE-2022-37969 (оценка CVSS: 7.8), затрагивающую драйвер CLFS в Windows.

Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory.

Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону.

Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации (MFA) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении.