Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
CISA, FBI, gibt Hinweise auf die Ransomware-Gruppe BianLian heraus
31. Mai 2023. TuxCare PR Team
Im Rahmen der #StopRansomware-Kampagne haben die Regierungen der USA und Australiens sowie die Cybersecurity and Infrastructure Security Agency (CISA), das FBI und das Australian Cyber Security Centre (ACSC) eine Warnung herausgegeben, dass die Ransomware BianLian zu reinen Erpressungsangriffen übergegangen ist.
BianLian hat es seit Juni 2022 auf kritische Infrastrukturunternehmen in den USA und Australien abgesehen. Sie verschaffen sich unbefugten Zugang zu Computern, indem sie legitime RDP-Anmeldedaten (Remote Desktop Protocol) und Open-Source-Tools zum Abfangen von Anmeldedaten verwenden. Im Jahr 2023 sind die Methoden von BianLian bedrohlicher geworden, mit der Absicht, finanziellen, rechtlichen und betrieblichen Schaden anzurichten, wenn die Opfer ihren Lösegeldforderungen nicht nachkommen.
Anfang dieses Jahres wurde auf der dunklen Website von BianLian eine Liste von 118 früheren Zielen veröffentlicht, wobei die Gesundheitsbranche das häufigste Opfer war. Die Mehrheit der Ziele (71 %) befand sich in den USA, gefolgt von 11 % im Vereinigten Königreich und 7 % in Australien.
Die BianLian-Gruppe erpresst ihre Opfer, indem sie deren Daten als Geiseln hält und damit droht, sie nur gegen Zahlung eines Lösegelds freizugeben. Zuvor verfolgten sie einen doppelten Erpressungsansatz: Sie verschlüsselten Systeme und stahlen sensible Daten. Ab etwa Januar 2023 verlagerte sich ihr Schwerpunkt jedoch auf Erpressung durch Exfiltration.
In dem Advisory wird betont, dass die Bedrohungsakteure, die hinter BianLian stehen, in der Regel PowerShell und Windows Command Shell verwenden, um Antiviren-Tools zu deaktivieren und eine Entdeckung zu vermeiden. Sobald sie Zugang zu einem kompromittierten Netzwerk haben, verwenden sie PowerShell-Skripte, um nach wertvollen Dateien zu suchen und diese zu stehlen. Um diese Risiken zu mindern, wird empfohlen, die Verwendung des Remote Desktop Protocol (RDP) und anderer Remote-Desktop-Dienste einzuschränken. Unternehmen sollten strenge Sicherheitsmaßnahmen implementieren und Befehlszeilen- und Skriptaktivitäten, einschließlich PowerShell, auf kritischen Systemen einschränken. Die Aktualisierung von PowerShell auf die neueste Version und die Aktivierung einer verbesserten Protokollierung für eine bessere Sichtbarkeit sind ebenfalls wichtige Schritte, die zu unternehmen sind.
Außerdem wird empfohlen, Audits durchzuführen, um die Ausführung von Fernzugriffstools und -software innerhalb des Netzwerks zu überwachen und zu kontrollieren. Die Einführung strenger Sicherheitsmaßnahmen und die Beschränkung der Nutzung von Remote-Desktop-Diensten wie RDP sind unerlässlich. Regelmäßige Audits der administrativen Konten und die Einhaltung des Prinzips der geringsten Privilegien sind ebenfalls wichtige Schritte zur Verbesserung der Sicherheit.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
