Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
CISA, FBI, emite un aviso sobre el grupo de ransomware BianLian
Obanla Opeyemi
31 de mayo de 2023 - Equipo de expertos TuxCare
Como parte de la campaña #StopRansomware, los gobiernos de Estados Unidos y Australia, así como la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), el FBI y el Centro Australiano de Ciberseguridad (ACSC) han emitido una alerta de ciberseguridad advirtiendo de que el ransomware BianLian ha pasado a realizar ataques únicamente de extorsión.
BianLian lleva atacando empresas de infraestructuras críticas en Estados Unidos y Australia desde junio de 2022. Consiguen acceso no autorizado a ordenadores utilizando credenciales legítimas del Protocolo de Escritorio Remoto (RDP) y herramientas de recopilación de credenciales de código abierto. En 2023, los métodos de BianLian se han vuelto más amenazadores, con la intención de causar daños financieros, legales y operativos si las víctimas no acceden a sus peticiones de rescate.
A principios de este año, el sitio web oscuro de BianLian reveló una lista de 118 objetivos anteriores, siendo el sector sanitario la víctima más frecuente. La mayoría de los objetivos (71%) se encontraban en Estados Unidos, seguidos de un 11% en el Reino Unido y un 7% en Australia.
El grupo BianLian se dedica a la extorsión reteniendo los datos de las víctimas como rehenes y amenazando con liberarlos a menos que se pague un rescate. Anteriormente, utilizaban un enfoque de doble extorsión, cifrando sistemas y robando datos confidenciales. Sin embargo, a partir de enero de 2023, se centraron en la extorsión basada en la filtración.
El aviso subraya que las amenazas detrás de BianLian suelen utilizar PowerShell y Windows Command Shell para desactivar las herramientas antivirus y evitar su detección. Una vez que obtienen acceso a una red comprometida, emplean scripts de PowerShell para buscar y robar archivos valiosos. Para mitigar estos riesgos, se recomienda limitar el uso del Protocolo de Escritorio Remoto (RDP) y otros servicios de escritorio remoto. Las organizaciones deben aplicar medidas de seguridad estrictas y restringir las actividades de línea de comandos y scripts, incluido PowerShell, en los sistemas críticos. Actualizar PowerShell a la última versión y habilitar el registro mejorado para mejorar la visibilidad también son medidas cruciales que deben tomarse.
El aviso sugiere además la realización de auditorías para supervisar y controlar la ejecución de herramientas y software de acceso remoto dentro de la red. Es esencial aplicar medidas de seguridad estrictas y restringir el uso de servicios de escritorio remoto, como RDP. Las auditorías periódicas de las cuentas administrativas y la adhesión al principio del menor privilegio son también medidas vitales para mejorar la seguridad.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
