CISA

米国とオーストラリアの政府機関が共同でサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)によって発行したサイバーセキュリティ勧告は、BianLian ランサムウェア グループが使用する最新の戦術、技術、手順 (TTP) について組織に警告しています。

BianLian は、 2022 年 6 月以来、米国とオーストラリアの重要なインフラストラクチャの組織をターゲットにしているランサムウェアおよびデータ恐喝グループです。

#StopRansomware の取り組みの一環であるこの勧告は、2023 年 3 月時点での連邦捜査局 (FBI) とオーストラリア サイバー セキュリティ センター (ACSC) の調査に基づいています。この勧告は、防御側に保護を調整し強化するための情報を提供することを目的としています。 BianLian ランサムウェアやその他の同様の脅威に対するセキュリティ上のスタンス。

ビアンリアンの攻撃戦術

BianLian は当初、被害者のネットワークから個人データを盗んだ後にシステムを暗号化し、ファイルを公開すると脅すという二重恐喝モデルを採用していました。

しかし、 アバストがランサムウェアの復号化ツールをリリースした2023 年 1 月以降、このグループはシステムを暗号化せずにデータ窃盗に基づいた恐喝に切り替えました。

インシデントは基本的に被害者の評判を傷つけ、顧客の信頼を損ない、法的な複雑さを引き起こすデータ侵害であるため、この戦術は依然として説得力があります。

CISA の勧告は、BianLian が有効なリモート デスクトップ プロトコル (RDP) 資格情報を使用してシステムに侵入しており、おそらく初期アクセス ブローカーから購入したか、フィッシングを通じて取得したものであると警告しています。

BianLian は、Go で書かれたカスタム バックドア、商用リモート アクセス ツール、コマンド ラインとスクリプトをネットワーク偵察に使用します。最後の段階では、ファイル転送プロトコル (FTP)、Rclone ツール、または Mega ファイル ホスティング サービスを介して被害データを抽出します。

セキュリティ ソフトウェアからの検出を回避するために、BianLian は PowerShell と Windows コマンド シェルを利用して、ウイルス対策ツールに関連する実行中のプロセスを無効にします。 Windows レジストリは、ソフォスのセキュリティ製品によって提供される改ざん保護を無効にするために操作されます。

提案された緩和策

推奨される緩和策は、RDP およびその他のリモート デスクトップ サービスの使用を制限すること、コマンド ラインとスクリプト アクティビティを無効にすること、重要なシステムでの PowerShell の使用を制限することを指します。

この勧告では、ネットワークの防御に役立ついくつかの対策を推奨しています。

  • ネットワーク上のリモート アクセス ツールとソフトウェアの実行を監査および制御します。
  • RDP などのリモート デスクトップ サービスの使用を制限し、厳格なセキュリティ対策を実施します。
  • PowerShell の使用を制限し、最新バージョンに更新し、拡張ログを有効にします。
  • 管理アカウントを定期的に監査し、最小特権の原則を採用します。
  • データの複数のコピーをオフラインで安全に保存して復旧計画を作成します。
  • 長さ、保存、再利用、多要素認証などのパスワード管理に関する NIST 標準に準拠します。
  • ソフトウェアとファームウェアを定期的に更新し、セキュリティを向上させるためにネットワークをセグメント化し、ネットワーク アクティビティを積極的に監視します。
「FBI、CISA、およびACSCは、BianLianおよびその他のランサムウェア事件の可能性と影響を軽減するために、重要インフラ組織および中小規模の組織に対し、この勧告の軽減策セクションの推奨事項を実施することを奨励します。」 – CISA。

推奨される緩和策、侵害の兆候 (IoC)、コマンド トレース、および BianLian テクニックに関する詳細情報は、 CISAおよびACSCの完全な速報で入手できます。