Federalni istražni biro (FBI) izdao je hitno upozorenje u vezi sa sofisticiranom kampanjom iznuđivanja zasnovanom na e-mailu usmjerenoj na korporativne rukovodioce, u kojoj hakeri imitiraju zloglasnu grupu BianLian ransomware-a .
Prevara, koja je prvi put identifikovana početkom marta 2025., uključuje fizička pisma poslana preko američke poštanske službe (USPS) rukovodiocima, u kojima se lažno tvrdi da je BianLian grupa provalila u korporativne mreže i ukrala osetljive podatke.
Primateljima se prijeti curenjem javnih podataka osim ako se uplate u rasponu od 250.000 do 500.000 dolara u Bitcoin-u ne izvrše u roku od 10 dana korištenjem priloženih QR kodova.
Lažna “BianLian” pisma o iznuđivanju
Lažna pisma, označena kao „Vremensko osjetljivo čitaj odmah“, oponašaju brendiranje operacije ransomware-a BianLian, uključujući reference na stranice grupe za curenje podataka zasnovane na Tor-u.
Međutim, kompanije koje se bave sajber-bezbjednošću kao što su GuidePoint Security i Fortified Health Security su identifikovale kritične nedosljednosti.
Za razliku od legitimnih BianLian operacija, koje se oslanjaju na tehničke kompromise kao što je iskorištavanje ranjivosti ProxyShell -a (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) ili korištenje ukradenih protokola za udaljenu radnu površinu) crnih podataka ili dokaza o nedostatku mreže (RDP) eksfiltracija podataka.
Pisma također odstupaju od BianLianove historijske taktike, kao što su modeli dvostruke iznude koji uključuju i šifrovanje i krađu podataka, koje je grupa napustila početkom 2024.
Primjetno, lažna pisma pokazuju neobično uglađene engleske i složene strukture rečenica, što je odstupanje od gramatičkih grešaka koje se tipično vide u autentičnoj BianLian komunikaciji.
Osim toga, odsustvo kanala za pregovaranje je u suprotnosti sa standardnim praksama ransomware-a, gdje hakeri često angažuju žrtve putem e-pošte ili mračnih web portala kako bi razgovarali o uslovima plaćanja.
Bitcoin novčanici povezani sa QR kodovima ne pokazuju nikakve prethodne veze sa aktivnostima ransomware-a, što dalje ukazuje na lažnu prirodu kampanje.
Prava BianLian grupa, za koju FBI procjenjuje da je sa sjedištem u Rusiji, ciljala je kritične infrastrukturne sektore od 2022. koristeći napredne tehnike kao što su:
- Iskorištavanje ESXi i Windows ranjivosti (npr. CVE-2022-37969 ) za početni pristup.
- Implementacija prilagođenih backdoor-a i web-škola Go-jezika (T1505.003) na Exchange serverima radi postojanosti.
- Prikupljanje akreditiva putem PowerShell skripti (T1059.001) i alata kao što je Mimikatz za bočno kretanje.
- Eksfiltriranje podataka putem Rclonea ili Mega, često prethodi šifrovanju u njihovim ranijim kampanjama dvostruke iznude.
Ublažavanja
FBI i Agencija za sajber i infrastrukturnu sigurnost (CISA) preporučuju organizacijama da usvoje sljedeće mjere:
Potvrdite prijetnje: Unakrsna provjera navodnih kršenja pomoću mrežnih dnevnika za BianLianove TTP-ove, kao što su anomalne RDP prijave (T1078), kreiranje Azure AD naloga (T1136.003) ili kompresija podataka putem PowerShell-a.
Poboljšajte sigurnost e-pošte: implementirajte DMARC, DKIM i SPF protokole kako biste blokirali lažnu komunikaciju izvršnih direktora, taktiku koja je istaknuta u paralelnim prevarama izvršnih direktora koje kompanije koštaju 2,3 milijarde dolara godišnje.
Ograničite RDP pristup: Implementirajte višefaktorsku autentifikaciju (MFA) i segmentirajte mreže kako biste obuzdali napade zasnovane na kredencijalima, primarni vektor početnog pristupa za BianLian.
Nadgledajte kanale eksfiltracije: Koristite sisteme za otkrivanje upada (IDS) za označavanje saobraćaja do krajnjih tačaka povezanih sa BianLian-om kao što su FTP serveri ili Rclone konfiguracije.
Organizacije koje primaju ova pisma trebaju prijaviti incidente FBI-jevom centru za žalbe na internet kriminal (IC3) i CISA-inom operativnom centru 24/7.
Firma za sajber sigurnost AttackIQ dalje savjetuje kontinuiranu validaciju odbrambenih mehanizama korištenjem ažuriranih grafova napada koji simuliraju ponašanje BianLiana, uključujući AES-256-CBC rutine šifrovanja i odbacivanje kredencijala.
Ova prevara zasnovana na pošti naglašava razvoj sajber kriminala, gdje hakeri iskorištavaju strah od renomiranih grupa ransomware-a kako bi zaobišli tehničku odbranu.
Iako BianLian ostaje stalna prijetnja , posebno za zdravstvenu zaštitu i kritičnu infrastrukturu, FBI potvrđuje da nema operativnog preklapanja između grupe i ove kampanje.
Izvor: CyberSecurityNews