De acuerdo a recientes avisos de seguridad emitidos por el FBI y la CISA se ha detectado a un grupo de ciber actores, denominado BianLian, que a través de la extorsión por medio de ransomware están afectando a distintas organizaciones en múltiples sectores de infraestructura crítica, servicios profesionales y de desarrollo inmobiliario tanto en EE.UU. como en Australia, estas actividades maliciosas han estado presentes desde junio del 2022.
¿Cómo opera?
Estos ciber actores están utilizando y explotando el servicio RDP (Protocolo de escritorio remoto), consiguiendo el acceso inicial a través de credenciales robadas utilizando técnicas de phishing contra las víctimas.
Para llevar a cabo sus actividades utilizan herramientas de código abierto y distintos comandos para efectuar el descubrimiento y recolección de estas credenciales, para luego extraerlas utilizando el protocolo FTP, plataforma Mega o Redclone.
Ilustración 2: Plataformas utilizadas para la extracción de información
Este año 2023, el FBI detectó un cambio en su forma de extorsionar a las víctimas, ahora ellos extraen la información sin cifrar los archivos pero los extorsionan diciéndoles que tendrán problemas financieros, empresariales y legales si no efectúan el pago solicitado.
Otro mecanismo de extorsión y seguimiento utilizado por este grupo consistía en imprimir las notas de rescate en distintas impresoras de la compañía comprometida, además de efectuar llamados telefónicos a los empleados insistiendoles y amenazándolos para que efectuaran el pago correspondiente de la información comprometida.
Para mantener la persistencia en el equipo infectado implantan una backdoor personalizada para cada víctima escrita en Go e instalan software de acceso y administración remota como AnyDesk, TeamViewer, Atera Agent, SplashTop, entre otros.
Los comandos para infectar y controlar a sus víctimas son a través de PowerShell y Windows Command Shell, es así como deshabilitan herramientas de antivirus como Windows Defender y Anti-malware Scan Interface (AMSI).
Descubrimiento y exploración
BianLian utiliza una combinación de herramientas compiladas, que su primera acción es descargarse en el equipo afectado, con ella efectúan un reconocimiento del entorno de la siguiente manera:
Adicionalmente a esto, utilizan herramientas nativas de Windows para pasar desapercibidos y obtener los siguientes datos:
Nota de rescate
El cifrador utilizado por los ciber actores (encryptor[.]exe) modifica los archivos cifrados agregando la extensión ([.]bianlian) y crea una nota de rescate (Look at this instructions[.]txt) en cada directorio afectado.
Ilustración 2: Nota de rescate del ransomware BianLiam
En el caso que la víctima se niegue a pagar el rescate el grupo BianLian los amenaza con publicar los datos filtrados en la red Tor. La nota de rescate también contiene un enlace para comunicarse con los ciber actores a través del Chat Tox, proporcionándoles un ID específico a cada una de las víctimas. A continuación, se visualiza una imagen del Chat Tox utilizado por los ciber actores.
Ilustración 3: Chat de Tox utilizado por los ciber actores
Este grupo exige los pagos en billeteras de criptomonedas al igual como lo hacen otros grupos de ciber actores, para mantener el anonimato de sus transacciones monetarias.
Apreciación
Los actuales grupos de ransomware están en constante cambio de sus TTP (Tácticas Técnicas y Procedimientos), es por ello que todas las organizaciones debemos estar alerta a las nuevas vulnerabilidades y servicios que pudiesen estar expuestos hacia internet o estén siendo mal utilizados internamente como el protocolo RDP u otros que por su naturaleza facilitan la tarea de los ciber actores al momento de comprometer o infectar sistemas informáticos.
A modo de recomendación para este boletín de amenaza, se insta a las organizaciones a bloquear RDP, deshabilitar la línea de comandos y las actividades y permisos de secuencias de comandos, restringir el uso de PowerShell, asegurarse de que solo esté instalada la última versión de PowerShell y que esté habilitado el registro mejorado, adicionalmente agregar bloqueos basados en el tiempo que eviten el secuestro de cuentas de usuarios administradores fuera del horario laboral normal, no almacenar credenciales de texto sin formato en scripts e implementar un plan de recuperación que mantenga copias de seguridad de datos seguras y fuera de línea.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.tripwire.com/state-of-security... |
Tipo | Indicador |
---|---|
Ransomware BianLian | . |
hash | 7b15f570a23a5c5ce8ff942da60... |
hash | 1fd07b8d1728e416f897bef4f14... |
hash | 0c1eb11de3a533689267ba075e4... |
hash | 40126ae71b857dd22db39611c25... |