Um recente comunicado divulgado conjuntamente pelo Federal Bureau of Investigation (FBI), pela Cybersecurity and Infrastructure Security Agency (CISA) e pelo Australian Cyber Security Centre (ACSC) descreve em pormenor as ameaças acrescidas colocadas pelo grupo de ransomware e extorsão BianLian. Com o grupo cibercriminoso ativo desde junho de 2022, parece que a encriptação mais convencional dos ficheiros das vítimas para pagamento do ransomware foi agora transferida para a exfiltração de dados comprometidos para fins de chantagem e extorsão.
Normalmente obtendo acesso através de credenciais válidas do Protocolo de Ambiente de Trabalho Remoto (RDP), a campanha de ransomware do BianLian tem como alvo organizações bem conhecidas nos sectores da educação, cuidados de saúde, infra-estruturas críticas, banca, serviços financeiros e seguros, media e entretenimento, fabrico e outros sectores verticais.
De acordo com o aviso, "o grupo BianLian utiliza técnicas adicionais para pressionar a vítima a pagar o resgate; por exemplo, imprimindo a nota de resgate em impressoras na rede comprometida. Os funcionários das empresas vítimas também relataram ter recebido chamadas telefónicas ameaçadoras de indivíduos associados ao grupo BianLian".
Figura 1. Amostra de nota de resgate do BianLian
Entre as muitas precauções e recomendações oferecidas pelas respectivas agências de inteligência, o aviso destaca a importância das organizações "... limitarem estritamente o uso de RDP e outros serviços de desktop remoto ..." para reduzir as superfícies de ataque e negar oportunidades para movimentos laterais não autorizados. Isto é particularmente importante porque o grupo BianLian, ao contrário da maioria dos outros grupos de ransomware, baseia-se principalmente na exploração técnica de ferramentas de acesso remoto, em vez das Tácticas, Técnicas e Procedimentos (TTPs) mais ortodoxas, dependentes apenas de e-mails de phishing não solicitados.
Com um maior enfoque na exfiltração de dados, esta última iteração da estirpe de ransomware BianLian "utiliza o Protocolo de Transferência de Ficheiros e o Rclone, uma ferramenta utilizada para sincronizar ficheiros para armazenamento na nuvem, a fim de exfiltrar dados. O FBI observou que os actores do grupo BianLian instalam o Rclone e outros ficheiros em pastas genéricas e tipicamente não verificadas... A ACSC observou que os actores do grupo BianLian utilizam o serviço de partilha de ficheiros Mega para exfiltrar os dados das vítimas".
Porque é que estes incidentes ocorrem?
Atualmente, o ransomware como vetor de ameaça próprio não seria propriamente considerado uma "novidade". Onde há dados, há uma abertura para os agentes de ameaças manterem esta informação sensível como refém e exigirem um pagamento pela sua libertação. Este conceito remonta aos primeiros dias das infecções por malware, quando a estirpe do "vírus da SIDA" entrou em cena como uma das primeiras instâncias de ransomware.
A abordagem de extorsão e roubo de dados continua a aumentar a sua popularidade entre os grupos de ransomware, uma vez que as organizações vítimas estão a adotar uma postura mais rigorosa em relação aos tradicionais pedidos de pagamento de ransomware. Com este "modus operandi" renovado, os agentes da ameaça obtêm o seu acesso inicial, movem-se lateralmente através das redes da vítima, encontram dados sensíveis/valiosos para subsequente exfiltração, implementam as suas cargas úteis de ransomware e, por fim, emitem as suas exigências. A partir desse ponto, se a organização vítima não pagar o pedido de resgate inicial, os agentes da ameaça ameaçam divulgar os dados roubados online.
Infelizmente, este novo e melhorado modelo de extorsão dupla está a ganhar mais força entre os cibercriminosos e as suas campanhas de ameaças, em que exigem pagamentos separados para desencriptar os sistemas afectados e para não divulgar os dados roubados da vítima.
O que é que pode fazer?
No mínimo, as directrizes de segurança fundamentais e a autenticação multifactor devem ser activadas e utilizadas sempre que possível. Isto é especificamente referido no aviso acima mencionado como "autenticação multifactor resistente a phishing". BianLian serve como mais um exemplo de como credenciais estáticas e válidas estão a ser obtidas e exploradas para facilitar um maior acesso à infraestrutura da vítima.
O ransomware, como o nome sugere, concentra-se principalmente em manter os dados de uma organização vítima como reféns para obter um resgate (não vale a pena adivinhar). Como? Tradicionalmente, isto é feito encriptando os ficheiros da vítima. Se os ficheiros da sua organização foram tomados como reféns utilizando os algoritmos de encriptação do grupo de ameaça, a equipa da Avast desenvolveu uma ferramenta de desencriptação específica BianLian para ajudar as vítimas a recuperar os seus dados encriptados gratuitamente e evitar o pagamento de um resgate aos atacantes.
Além disso, as organizações são fortemente encorajadas a aproveitar os Indicadores de Compromisso (IOC) conhecidos nas suas plataformas apropriadas para detetar, remediar e prevenir infecções BianLian.
Tal como referido pelas respectivas agências de inteligência no seu aviso, a redução da superfície de ataque é uma importante técnica de mitigação de riscos a ser considerada, particularmente quando os movimentos laterais parecem ser outra TTP comum aqui. Limitar estritamente o RDP e os serviços de ambiente de trabalho remoto é uma recomendação comum oferecida para ameaças recentes, como o Lapsus$ e o Venus, e deve ser levada igualmente a sério no caso do BianLian.
Compreensivelmente, as organizações actuais dependem muito dos serviços e capacidades de acesso remoto para permitir que as suas forças de trabalho funcionem e colaborem em ambientes distribuídos. Por este motivo, pode não ser viável adotar uma abordagem rígida, simplesmente "eliminando" as ferramentas RDP existentes. Em vez disso, as organizações devem encontrar formas de mitigar os riscos subjacentes associados à utilização e exploração do ambiente de trabalho remoto sempre que possível.
Como exemplo, o alinhamento com os princípios de Zero Trust Network Access (ZTNA) pode ajudar muito na redução da superfície de ataque - o que significa que o acesso a qualquer recurso é negado por defeito. Todos os utilizadores e dispositivos, internos ou remotos, são considerados inseguros e arriscados, e a sua identidade e postura de segurança devem ser verificadas antes de conceder acesso a recursos privados sensíveis, incluindo serviços de conetividade RDP.
O ZTNA permite que as organizações criem perímetros definidos por software e dividam a rede corporativa em vários micro-segmentos. Ao permitir apenas o acesso "menos privilegiado" a aplicações específicas e recursos internos - e não a toda a rede subjacente a qualquer utilizador com chaves de início de sessão válidas - a superfície de ataque é drasticamente reduzida, impedindo assim o movimento lateral de ameaças a partir de contas ou dispositivos comprometidos.
Referências: