​⚡️Принтер как инструмент: новый метод шантажа BianLian охватил критическую инфраструктуру 💬 ФБР совместно с агентством CISA и Австралийским центром кибербезопасности (ACSC) выпустили информационный бюллетень о методах, тактике и процедурах (TTPs), а также индикаторах компрометации (IOC), связанных с группировкой BianLian. Группа известна разработкой и использованием программ-вымогателей, а также вымогательством. BianLian активно действует с 2022 года, атакуя критически важные секторы инфраструктуры в США и Австралии, включая предприятия профессиональных услуг и строительной отрасли. Изначально злоумышленники использовали двойную схему вымогательства: шифровали данные и угрожали их публикацией. Однако с января 2023 года основным методом стал сбор и вымогательство данных без шифрования, а с января 2024 года шифрование полностью исключено из схем атак. Для проникновения в сети злоумышленники используют украденные учетные данные RDP, а также атаки с использованием уязвимостей ProxyShell. После доступа к системам устанавливаются инструменты для удаленного управления и маскировки командного центра, такие как Ngrok и Rsocks. Злоумышленники также повышают привилегии с помощью эксплуатации уязвимости CVE-2022-37969 (оценка CVSS: 7.8), затрагивающую драйвер CLFS в Windows. Для скрытия своей активности злоумышленники используют PowerShell и Windows Command Shell для отключения антивирусных решений и защиты, а также обфускации файлов. Дополнительно применяются инструменты для сканирования сети, такие как Advanced Port Scanner, и скрипты для сбора учетных данных и данных Active Directory. Группа BianLian собирает конфиденциальные файлы, используя PowerShell-скрипты для поиска и сжатия данных перед их передачей через FTP, Rclone или сервис Mega. Для усиления давления на жертв злоумышленники рассылают записки с угрозами на корпоративные принтеры или связываются с сотрудниками компаний по телефону. Специалисты ФБР, CISA и ACSC призывают организации применять рекомендации для минимизации риска атак. Среди основных мер: аудит удаленного доступа, строгая сегментация сети, использование многофакторной аутентификации (MFA) и регулярное обновление систем. Также рекомендуется вести резервное копирование данных и проводить регулярное тестирование защитных механизмов на соответствие методам злоумышленников, описанным в уведомлении. 🔔 ITsec NEWS