Un avis conjoint sur la cybersécurité émanant d’agences gouvernementales aux États-Unis et en Australie et publié par la Cybersecurity and Infrastructure Security Agency (CISA) avertit les organisations des dernières tactiques, techniques et procédures (TTP) utilisées par le groupe de rançongiciels BianLian.
BianLian est un groupe de rançongiciels et d’extorsion de données qui cible des entités aux États-Unis et en Australie depuis juin 2022.
Faisant partie de l’effort #StopRansomware, l’avis est basé sur les enquêtes du Federal Bureau of Investigation (FBI) et de l’Australian Cyber Security Center (ACSC) en mars 2023. Il vise à fournir aux défenseurs des informations qui leur permettent d’ajuster les protections et de renforcer leur position de sécurité contre le rançongiciel BianLian et d’autres menaces similaires.
Tactiques d’attaque BianLian
BianLian a initialement utilisé un modèle de double extorsion, cryptant les systèmes après avoir volé les données privées des réseaux victimes, puis menaçant de publier les fichiers.
Cependant, depuis janvier 2023, date à laquelle Avast a publié un décrypteur pour le ransomware, le groupe est passé à l’extorsion basée sur le vol de données sans systèmes de cryptage.
Cette tactique est toujours convaincante car les incidents sont essentiellement des violations de données qui s’accompagnent d’une atteinte à la réputation de la victime, sapent la confiance des clients et introduisent des complications juridiques.
L’avis de CISA avertit que BianLian viole les systèmes à l’aide d’informations d’identification RDP (Remote Desktop Protocol) valides, éventuellement achetées auprès de courtiers d’accès initiaux ou acquises par hameçonnage.
BianLian utilise ensuite une porte dérobée personnalisée écrite en Go, des outils d’accès à distance commerciaux, ainsi qu’une ligne de commande et des scripts pour la reconnaissance du réseau. La dernière étape consiste à exfiltrer les données des victimes via le protocole de transfert de fichiers (FTP), l’outil Rclone ou le service d’hébergement de fichiers Mega.
Pour échapper à la détection des logiciels de sécurité, BianLian utilise PowerShell et Windows Command Shell pour désactiver les processus en cours d’exécution associés aux outils antivirus. Le registre Windows est également manipulé pour neutraliser la protection anti-falsification fournie par les produits de sécurité Sophos.
Atténuations proposées
Les mesures d’atténuation recommandées concernent la limitation de l’utilisation de RDP et d’autres services de bureau à distance, la désactivation des activités de ligne de commande et de script et la restriction de l’utilisation de PowerShell sur les systèmes critiques.
L’avis recommande plusieurs mesures qui peuvent aider à défendre le réseau :
- Auditez et contrôlez l’exécution des outils et logiciels d’accès à distance sur votre réseau.
- Limitez l’utilisation des services de bureau à distance tels que RDP et appliquez des mesures de sécurité strictes.
- Limitez l’utilisation de PowerShell, mettez à jour vers la dernière version et activez la journalisation améliorée.
- Vérifier régulièrement les comptes administratifs et appliquer le principe du moindre privilège.
- Élaborez un plan de récupération avec plusieurs copies de données stockées en toute sécurité et hors ligne.
- Respectez les normes NIST pour la gestion des mots de passe, y compris la longueur, le stockage, la réutilisation et l’authentification multifacteur.
- Mettez régulièrement à jour les logiciels et micrologiciels, segmentez les réseaux pour améliorer la sécurité et surveillez activement l’activité du réseau.
« Le FBI, la CISA et l’ACSC encouragent les organisations d’infrastructures critiques et les petites et moyennes entreprises à mettre en œuvre les recommandations de la section Atténuations de cet avis afin de réduire la probabilité et l’impact de BianLian et d’autres incidents de ransomware. » – CISA.
Des informations plus détaillées sur les mesures d’atténuation recommandées, les indicateurs de compromission (IoC), les traces de commande et les techniques BianLian sont disponibles dans les bulletins complets de CISA et de l’ACSC.