Главная страница » IOC
0
3 месяца
IOC

BianLian Ransomware IOCs - Part 5

ransomware

Операция BianLian ransomware, изначально известная своей моделью двойного вымогательства, включающей шифрование и эксфильтрацию данных, теперь переключилась на вымогательство, направленное в основном на кражу данных.

BianLian Ransomware

Об этом говорится в обновленном сообщении Агентства кибербезопасности и защиты инфраструктуры США (CISA), ФБР и Австралийского центра кибербезопасности. В рекомендациях отмечается, что BianLian отошел от шифрования файлов, особенно после того, как в январе 2023 года компания Avast выпустила дешифратор, и с января 2024 года занимается исключительно вымогательством, основанным на эксфильтрации.

Обновленная тактика BianLian включает в себя атаку на инфраструктуру Windows и ESXi, потенциальное использование цепочки эксплойтов ProxyShell для первоначального доступа, а также использование CVE-2022-37969 для повышения привилегий в Windows 10 и 11. Группа использует Ngrok и модифицированные Rsocks для создания SOCKS5-туннелей для маскировки направлений трафика, применяет упаковку UPX для обхода обнаружения и переименовывает исполняемые файлы и задачи для имитации легитимных служб Windows. Кроме того, они создают учетные записи администраторов домена и Azure AD, выполняют сетевые подключения через SMB, устанавливают веб-оболочки на серверы Exchange и используют сценарии PowerShell для сжатия данных перед утечкой. Группа также ввела новый Tox ID для связи с жертвами и печатает записки с выкупом на принтерах, подключенных к взломанным сетям, и даже звонит сотрудникам, чтобы оказать на них давление.

BianLian действует с 2022 года, на портале вымогателей она указала 154 жертвы и причастна к известным взломам, включая взломы Air Canada, Northern Minerals и Boston Children's Health Physicians. Группа также заявила о взломах в отношении нескольких других организаций, хотя эти факты не были подтверждены. Несмотря на российское происхождение, BianLian пытается скрыть свое местоположение, используя иноязычные названия.

Indicators of Compromise

Domains

  • xred.mooo.com

Onion Domains

  • bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion

URLs

  • http://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978
  • http://freedns.afraid.org:1199/api
  • http://xred.mooo.com:1199
  • http://xred.site50.net/syn/SSLLibrary.dll
  • http://xred.site50.net/syn/SUpdate.ini

SHA256

  • 0c1eb11de3a533689267ba075e49d93d55308525c04d6aff0d2c54d1f52f5500
  • 1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
  • 40126ae71b857dd22db39611c25d3d5dd0e60316b72830e930fba9baf23973ce
  • 7b15f570a23a5c5ce8ff942da60834a9d0549ea3ea9f34f900a09331325df893
  • ec6c4d70f0645ee38ca0fbc9dcbd4094c823c66475458453b4f1449f63eac0d6
  • f67dd58463dd3788d494f1c354695060a7d2be303be52ef2575aa809f6349bd9
Комментарии: 0
Похожие записи
0
8 дней
IOC

Группы Black Basta и Cactus Ransomware добавили в свой арсенал вредоносное ПО BackConnect

security
Команды Trend Micro Managed XDR и Incident Response (IR) провели анализ инцидентов, связанных с программами Black Basta и Cactus, где злоумышленники использовали вредоносную программу BackConnect для захвата контроля над зараженными системами.
0
19 дней
IOC

Ghost (Cring) Ransomware IOCs

ransomware
Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало
0
19 дней
IOC

Как быстрые фишинговые атаки используют слабые места

ransomware
Недавно компания ReliaQuest столкнулась с взломом в производственном секторе, связанным с фишингом и утечкой данных. Злоумышленники были очень быстры и смогли взломать систему всего за 48 минут.