Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и защите инфраструктуры (CISA) и Австралийский центр кибербезопасности (ACSC) выпускают это совместное информационное сообщение по кибербезопасности, чтобы распространить известные МОК и ТТП группы BianLian, занимающейся вымогательством выкупных программ и данных, выявленные в ходе расследований ФБР и ACSC по состоянию на март 2023 года.
BianLian - это киберпреступная группа, занимающаяся разработкой, внедрением и вымогательством данных, которая с июня 2022 года атаковала организации в различных секторах критической инфраструктуры США. Они также атаковали австралийские критически важные отрасли инфраструктуры, а также сферу профессиональных услуг и девелопмента. Группа получает доступ к системам жертв через действительные учетные данные протокола удаленного рабочего стола (RDP), использует инструменты с открытым исходным кодом и сценарии командной строки для обнаружения и сбора учетных данных, а также выводит данные жертв через протокол передачи файлов (FTP), Rclone или Mega. Затем участники группы BianLian вымогают деньги, угрожая обнародовать данные, если оплата не будет произведена. Первоначально группа BianLian использовала модель двойного вымогательства, при которой они шифровали системы жертв после эксфильтрации данных; однако примерно в январе 2023 года они перешли к вымогательству, основанному преимущественно на эксфильтрации.
Indicators of Compromise
SHA256
- 0c1eb11de3a533689267ba075e49d93d55308525c04d6aff0d2c54d1f52f5500
- 1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
- 40126ae71b857dd22db39611c25d3d5dd0e60316b72830e930fba9baf23973ce
- 7b15f570a23a5c5ce8ff942da60834a9d0549ea3ea9f34f900a09331325df893
