Penasihat Cybersecurity bersama dari lembaga pemerintah di AS dan Australia, dan diterbitkan oleh Cybersecurity and Infrastructure Security Agency (CISA,) memperingatkan organisasi tentang taktik, teknik, dan prosedur (TTP) terbaru yang digunakan oleh grup ransomware BianLian.
BianLian adalah grup ransomware dan pemerasan data yang telah menargetkan entitas di infrastruktur penting AS dan Australia sejak saat itu Juni 2022.
Sebagai bagian dari upaya #StopRansomware, saran ini didasarkan pada investigasi dari Biro Investigasi Federal (FBI) dan Pusat Keamanan Siber Australia (ACSC) pada Maret 2023. Ini bertujuan untuk memberikan informasi kepada para pembela HAM yang memungkinkan mereka menyesuaikan perlindungan dan memperkuat sikap keamanan mereka terhadap ransomware BianLian dan ancaman serupa lainnya.
Taktik serangan BianLian
BianLian awalnya menggunakan model pemerasan ganda, sistem enkripsi setelah mencuri data pribadi dari jaringan korban, dan kemudian mengancam untuk mempublikasikan file.
Namun, sejak Januari 2023, kapan Avast merilis dekripsi untuk ransomware, grup beralih ke pemerasan berdasarkan pencurian data tanpa mengenkripsi sistem.
Taktik ini masih menarik karena insiden tersebut pada dasarnya adalah pelanggaran data yang disertai dengan kerusakan reputasi di pihak korban, merusak kepercayaan pelanggan, dan menimbulkan komplikasi hukum.
Penasihat CISA memperingatkan bahwa BianLian melanggar sistem menggunakan kredensial Remote Desktop Protocol (RDP) yang valid, kemungkinan dibeli dari broker akses awal atau diperoleh melalui phishing.
BianLian kemudian menggunakan pintu belakang khusus yang ditulis dalam Go, alat akses jarak jauh komersial, dan baris perintah serta skrip untuk pengintaian jaringan. Tahap terakhir terdiri dari pengelupasan data korban melalui File Transfer Protocol (FTP), alat Rclone, atau layanan hosting file Mega.
Untuk menghindari deteksi dari perangkat lunak keamanan, BianLian memanfaatkan PowerShell dan Windows Command Shell untuk menonaktifkan proses yang berjalan terkait dengan alat antivirus. Registri Windows juga dimanipulasi untuk menetralisir perlindungan perusakan yang disediakan oleh produk keamanan Sophos.
Mitigasi yang diusulkan
Mitigasi yang disarankan mengacu pada pembatasan penggunaan RDP dan layanan desktop jarak jauh lainnya, menonaktifkan aktivitas baris perintah dan pembuatan skrip, serta membatasi penggunaan PowerShell pada sistem kritis.
Penasihat merekomendasikan beberapa tindakan yang dapat membantu mempertahankan jaringan:
- Audit dan kontrol pelaksanaan alat dan perangkat lunak akses jarak jauh di jaringan Anda.
- Batasi penggunaan layanan desktop jarak jauh seperti RDP dan terapkan tindakan keamanan yang ketat.
- Batasi penggunaan PowerShell, perbarui ke versi terbaru, dan aktifkan logging yang ditingkatkan.
- Secara teratur mengaudit rekening administratif dan menerapkan prinsip hak istimewa terkecil.
- Kembangkan rencana pemulihan dengan banyak salinan data yang disimpan dengan aman dan offline.
- Patuhi standar NIST untuk manajemen kata sandi, termasuk panjang, penyimpanan, penggunaan kembali, dan autentikasi multi-faktor.
- Perbarui perangkat lunak dan firmware secara teratur, bagikan jaringan untuk keamanan yang lebih baik, dan pantau aktivitas jaringan secara aktif.
“FBI, CISA, dan ACSC mendorong organisasi infrastruktur penting dan organisasi kecil dan menengah untuk mengimplementasikan rekomendasi di bagian Mitigasi dari penasehat ini untuk mengurangi kemungkinan dan dampak BianLian dan insiden ransomware lainnya.” – CISA.
Informasi lebih rinci tentang mitigasi yang direkomendasikan, indikator kompromi (IoC), jejak perintah, dan teknik BianLian tersedia di buletin lengkap dari CISA dan ACSC.
