El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Centro de Seguridad Cibernética de Australia (ACSC) están instando a las empresas a «limitar estrictamente el uso del Protocolo de Escritorio Remoto». (se abre en una pestaña nueva) (RDP) y otros servicios de escritorio remoto» y así minimizar la amenaza proveniente del grupo de ransomware BianLian.
En un aviso de seguridad conjunto, las agencias de aplicación de la ley dijeron que BianLian generalmente se enfoca en los sistemas de Windows a través de las credenciales RDP, antes de implementar software adicional para robar más credenciales o filtrar datos confidenciales y otros archivos importantes.
Dado que RPD es el punto de entrada habitual de BianLian, cerrar la puerta con llave parece un paso lógico hacia adelante.
Reduciendo el impacto
Las agencias de aplicación de la ley también dijeron que las empresas deberían aumentar el registro de PowerShell, agregar bloqueos basados en el tiempo a las cuentas, así como rastrear los controladores de dominio y los directorios activos en busca de nuevas cuentas sospechosas y otras actividades sospechosas.
«El FBI, CISA y ACSC alientan a las organizaciones de infraestructura crítica y a las organizaciones pequeñas y medianas a implementar las recomendaciones en la sección Mitigaciones de este aviso para reducir la probabilidad y el impacto de BianLian y otros incidentes de ransomware», dice el aviso.
La última vez que supimos de BianLian fue en marzo de 2023, cuando los investigadores de seguridad cibernética Redacted detectaron que el grupo intentaba extorsionar a las empresas por dinero, sin cifrar primero sus terminales.
Los investigadores propusieron dos posibles explicaciones de por qué los actores de la amenaza abandonaron el cifrador, una es que toda la prueba lleva demasiado tiempo, es demasiado costosa y redundante, y la otra es que el grupo nunca se recuperó del descifrador de Avast que fue lanzado en enero de este año. En cualquier caso, si su empresa sufre un cifrado de ransomware, el FBI recomienda no pagar la demanda de rescate.
BianLian se observó por primera vez en junio de 2022 y se centró en empresas de la industria de la salud, así como en otras verticales de infraestructura crítica.
En un informe de The Register, se dijo que BianLian es en realidad varios grupos de ransomware que crecen en tamaño y usan lenguajes de programación más nuevos, como Go o Rust.
Vía: El Registro (se abre en una pestaña nueva)