ClickCease La CISA et le FBI émettent un avis sur le groupe de ransomware BianLian

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La CISA et le FBI émettent un avis sur le groupe de ransomware BianLian

31 mai 2023 - L'équipe de relations publiques de TuxCare

Dans le cadre de la campagne #StopRansomware, les gouvernements américain et australien, ainsi que la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et l'Australian Cyber Security Centre (ACSC) ont publié une alerte de cybersécurité avertissant que le ransomware BianLian est passé à des attaques d'extorsion uniquement.

Depuis juin 2022, BianLian s'en prend à des entreprises d'infrastructures critiques aux États-Unis et en Australie. Il obtient un accès non autorisé aux ordinateurs à l'aide d'identifiants Remote Desktop Protocol (RDP) légitimes et d'outils de collecte d'identifiants open-source. En 2023, les méthodes de BianLian sont devenues plus menaçantes, avec l'intention de causer des dommages financiers, juridiques et opérationnels si les victimes ne se conforment pas à leurs demandes de rançon.

Au début de l'année, le site web obscur de BianLian a divulgué une liste de 118 cibles antérieures, le secteur de la santé étant la victime la plus fréquente. La majorité des cibles (71 %) étaient situées aux États-Unis, suivies par 11 % au Royaume-Uni et 7 % en Australie.

Le groupe BianLian pratique l'extorsion en prenant en otage les données des victimes et en menaçant de les libérer si une rançon n'est pas versée. Auparavant, il utilisait une double approche d'extorsion, en chiffrant les systèmes et en volant des données sensibles. Cependant, à partir de janvier 2023, ils se sont concentrés sur l'extorsion basée sur l'exfiltration.

L'avis souligne que les acteurs de la menace derrière BianLian utilisent généralement PowerShell et Windows Command Shell pour désactiver les outils antivirus et éviter d'être détectés. Une fois qu'ils ont accédé à un réseau compromis, ils utilisent des scripts PowerShell pour rechercher et voler des fichiers précieux. Pour atténuer ces risques, il est recommandé de limiter l'utilisation du protocole RDP (Remote Desktop Protocol) et d'autres services de bureau à distance. Les organisations devraient mettre en œuvre des mesures de sécurité strictes et restreindre les activités de ligne de commande et de script, y compris PowerShell, sur les systèmes critiques. La mise à jour de PowerShell vers la dernière version et l'activation de la journalisation améliorée pour une meilleure visibilité sont également des mesures cruciales à prendre.

L'avis suggère également de réaliser des audits pour surveiller et contrôler l'exécution des outils et des logiciels d'accès à distance au sein du réseau. Il est essentiel de mettre en œuvre des mesures de sécurité strictes et de restreindre l'utilisation des services de bureau à distance, tels que RDP. Des audits réguliers des comptes administratifs et le respect du principe du moindre privilège sont également des étapes essentielles pour renforcer la sécurité.

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
La CISA et le FBI émettent un avis sur le groupe de ransomware BianLian
Nom de l'article
La CISA et le FBI émettent un avis sur le groupe de ransomware BianLian
Description
Les principales agences de sécurité ont publié une alerte de cybersécurité signalant que le ransomware BianLian est passé à des attaques d'extorsion uniquement.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information