米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(Cybersecurity & Infrastructure Security Agency)、FBI、およびオーストラリア・サイバーセキュリティセンター(Australian Cyber Security Centre)による最新の勧告によると、BianLian ランサムウェアの手口は変化し、主にデータ窃盗を目的とした恐喝グループとなっている。
この新情報は、同機関が5月に発表した共同勧告を更新したもので、盗んだリモート・デスクトップ・プロトコル(RDP)認証情報、カスタムGoベースのバックドア、商用リモート・アクセス・ツール、標的型Windowsレジストリの変更を含むBianLianの手口の変化について警告しています。
当時、BianLian はデータ窃取を目的とした恐喝に移行し始めており、特に2023年1月にAvastがBianLian ファミリー用の復号化ツールをリリースした後は、ファイル暗号化の手口を徐々に放棄していました。
BianLianの攻撃は2023年末には暗号化を使用していたことが知られていますが、更新されたアドバイザリによると、この脅威グループは2024年1月以降、もっぱらデータ強奪に移行しています。
「BianLianグループは元々、データを流出させた後に被害者のシステムを暗号化するという二重の恐喝モデルを採用していたが、2023年1月頃には主に流出ベースの恐喝に移行し、2024年1月頃にはもっぱら流出ベースの恐喝に移行した」とCISAの更新勧告は述べている。
この勧告で強調されているもう一つの点は、BianLianが現在、外国語の名前を使用することで出所を隠そうとしていることだ。しかし、情報機関は、主要なオペレーターと複数の関連会社がロシアに拠点を置いていると確信している。
勧告はまた、ランサムウェア一味の新しいテクニック、戦術、手順についても更新されています:
- WindowsおよびESXiインフラストラクチャを標的とし、初期アクセスにはProxyShellエクスプロイトチェーン(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)を使用する可能性がある。
- Ngrok と修正された Rsocks を使用して、SOCK5 トンネルを使用してトラフィックの送信先をマスクします。
- CVE-2022-37969 を悪用して Windows 10 および 11 で特権を昇格させます。
- UPXパッキングを使用して検知を回避。
- 正規のWindowsサービスやセキュリティ製品にちなんでバイナリやタスクの名前を変更し、検出を回避します。
- ドメイン管理者アカウントと Azure AD アカウントを作成し、SMB 経由でネットワークログイン接続を実行し、Exchange サーバーに Web シェルをインストールします。
- PowerShell スクリプトを使用して、収集したデータを流出前に圧縮します。
- 身代金メモに被害者との通信用の新しいTox IDを含める。
- 侵害されたネットワークに接続されたプリンターに身代金要求書を印刷し、被害企業の従業員に電話をかけて圧力をかける。
以上のことから、CISAはRDPの使用を厳しく制限し、コマンドラインとスクリプトの権限を無効にし、WindowsシステムでのPowerShellの使用を制限することを推奨している。
BianLianの最新の活動
2022年から活動しているBianLianランサムウェアは、ダークウェブ上の恐喝ポータルに154人の被害者をリストアップするなど、今年も多発している。
被害者のほとんどは中小規模の組織だが、BianLianは最近、エア・カナダ、ノーザン・ミネラルズ、ボストン・チルドレンズ・ヘルス・フィジシャンズに対するものなど、注目すべき侵害を行っている。
この脅威グループは最近、世界的な日本のスポーツウェアメーカー、著名なテキサスのクリニック、世界的な鉱業グループ、国際的な金融顧問、米国の大手皮膚科医院に対する侵害も発表しているが、これらはまだ確認されていない。
Comments