La CISA et le FBI émettent un avis sur le groupe de ransomware BianLian
Dans le cadre de la campagne #StopRansomware, les gouvernements américain et australien, ainsi que la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et l'Australian Cyber Security Centre (ACSC) ont publié une alerte de cybersécurité avertissant que le ransomware BianLian est passé à des attaques d'extorsion uniquement.
Depuis juin 2022, BianLian s'en prend à des entreprises d'infrastructures critiques aux États-Unis et en Australie. Il obtient un accès non autorisé aux ordinateurs à l'aide d'identifiants Remote Desktop Protocol (RDP) légitimes et d'outils de collecte d'identifiants open-source. En 2023, les méthodes de BianLian sont devenues plus menaçantes, avec l'intention de causer des dommages financiers, juridiques et opérationnels si les victimes ne se conforment pas à leurs demandes de rançon.
Au début de l'année, le site web obscur de BianLian a divulgué une liste de 118 cibles antérieures, le secteur de la santé étant la victime la plus fréquente. La majorité des cibles (71 %) étaient situées aux États-Unis, suivies par 11 % au Royaume-Uni et 7 % en Australie.
Le groupe BianLian pratique l'extorsion en prenant en otage les données des victimes et en menaçant de les libérer si une rançon n'est pas versée. Auparavant, il utilisait une double approche d'extorsion, en chiffrant les systèmes et en volant des données sensibles. Cependant, à partir de janvier 2023, ils se sont concentrés sur l'extorsion basée sur l'exfiltration.
L'avis souligne que les acteurs de la menace derrière BianLian utilisent généralement PowerShell et Windows Command Shell pour désactiver les outils antivirus et éviter d'être détectés. Une fois qu'ils ont accédé à un réseau compromis, ils utilisent des scripts PowerShell pour rechercher et voler des fichiers précieux. Pour atténuer ces risques, il est recommandé de limiter l'utilisation du protocole RDP (Remote Desktop Protocol) et d'autres services de bureau à distance. Les organisations devraient mettre en œuvre des mesures de sécurité strictes et restreindre les activités de ligne de commande et de script, y compris PowerShell, sur les systèmes critiques. La mise à jour de PowerShell vers la dernière version et l'activation de la journalisation améliorée pour une meilleure visibilité sont également des mesures cruciales à prendre.
L'avis suggère également de réaliser des audits pour surveiller et contrôler l'exécution des outils et des logiciels d'accès à distance au sein du réseau. Il est essentiel de mettre en œuvre des mesures de sécurité strictes et de restreindre l'utilisation des services de bureau à distance, tels que RDP. Des audits réguliers des comptes administratifs et le respect du principe du moindre privilège sont également des étapes essentielles pour renforcer la sécurité.
Les sources de cet article comprennent un article de BleepingComputer.