【靈活轉身】BianLian勒索集團放棄加密檔案 靠RDP工具快取企業機密資料
美國 FBI 及澳洲網絡安全中心 ACSC 警告,勒索軟件集團 BianLian(變臉)再度活躍,背後黑客放棄加密檔案程序,純粹以公開盜取的機密資料進行勒索,最新的攻擊策略是使用有效的遠程桌面協議(RDP)憑證入侵,而這些憑證相信是購自非法商人或通過網絡釣魚取得。兩局同時發表安全建議,在現時不得不使用 RDP 工具的情況下,企業最好盡快因應建議提升安全措施。
BianLian 是一種勒索軟件,它自 2022 年 7 月開始進行入侵活動,集團曾聲稱成功入侵過百個機構,當中主要是美國的重要業務,包括醫療、教育和工程機構。
專家指出 BianLian 是一種使用 Go 電腦語言程式的勒索軟件,由於 Go 具跨平台功能,可以對付多個作業系統,加上在逆向工程分析上有一定難度,因此廣受黑客歡迎。BianLian 集團本身採用雙重勒索手段,即除了加密電腦設備及檔案,還會以公開盜竊資料威逼企業交贖金,由於檔案被加密後會添加 .bianlian 延伸檔案名稱,因而集團便被稱為 BianLian。
雖然防毒軟件公司 Avast 在今年年初破解了 BianLian,並將相關的免費破解工具上載分享,不過,黑客很快改變策略,放棄了加密檔案而直接以外洩資料進行勒索。專家更指他們亦以新模式運作,首先他們會從地下市場購買目標機構使用的 RDP 工具帳戶憑證,作為入侵內部網絡的踏腳石;次階段會在內部網絡安裝 Go 後門程式及合法的遙距管理功能如 AnyDesk、TeamViewer,減低非法的網絡活動被安全工具偵測的機會。
然後黑客會進行一連串活動,包括在 RDP 工具上創建新的管理員帳戶、更改現存帳戶密碼、修改 Windows 系統註冊,以及使用 PowerShell 和 Windows Command Shell 去停用或移除正在執行的防毒軟件,最後再通過 FTP 文件傳輸協議、Rclone 或 Mega 文件管理服務將數據外傳。
當取得所需數據,黑客便會發出勒索信,例如利用受害機構的打印機印出信件,又或直接致電其員工,逼使管理層盡快通過 Tox Chat 商議贖金,否則會在 10 天將資料曝光。
要減少遭受攻擊或傷害範圍,美國及澳洲安全專家發表聯合建議,呼籲企業或機構應限制使用 RDP 及遠程管理工具,同時執行以下操作,便可在一定程度上保護內部網絡。
.限制 RDP 工具的使用及執行嚴格的安全政策
.限制 RDP 工具使用 PowerShell,並保持更新系統版本以及加強分析日誌記錄
.定期審核帳戶,並給予最小權限
.使用高強度密碼及多重因素驗證功能
.制定恢復計劃,將數據副本安全地離線保存
相關文章:【積極測試】黑客組織LockBit開發 首款macOS勒索軟件加密器