Impresora como herramienta: el nuevo método de chantaje de BianLian alcanza infraestructuras críticas

El FBI, junto con la agencia CISA y el Centro Australiano de Ciberseguridad (ACSC), publicaron un boletín informativo sobre los métodos, tácticas y procedimientos (TTPs), así como los indicadores de compromiso (IOC) relacionados con el grupo BianLian. Este grupo es conocido por desarrollar y utilizar programas de ransomware, además de practicar extorsión.

BianLian actúa activamente desde 2022, atacando sectores críticos de infraestructura en Estados Unidos y Australia, incluidos negocios de servicios profesionales y construcción. Inicialmente, los delincuentes utilizaban un esquema doble de extorsión: cifraban los datos y amenazaban con publicarlos. Sin embargo, desde enero de 2023, su método principal ha sido la recopilación y extorsión de datos sin cifrado, y desde enero de 2024, el cifrado fue completamente eliminado de sus tácticas de ataque.

Para acceder a las redes, los delincuentes utilizan credenciales robadas de RDP y realizan ataques aprovechando vulnerabilidades como ProxyShell. Una vez que logran acceso a los sistemas, instalan herramientas de gestión remota y ocultación del centro de mando, como Ngrok y Rsocks. También elevan privilegios mediante la explotación de la vulnerabilidad CVE-2022-37969 (calificación CVSS: 7.8), que afecta al controlador CLFS en Windows.

Para ocultar su actividad, los delincuentes emplean PowerShell y Windows Command Shell para desactivar soluciones antivirus y protecciones, además de ofuscar archivos. También utilizan herramientas como Advanced Port Scanner para escanear redes y scripts para recopilar credenciales y datos de Active Directory.

El grupo BianLian recopila archivos confidenciales mediante scripts de PowerShell que buscan y comprimen datos antes de transferirlos a través de FTP, Rclone o el servicio Mega. Para aumentar la presión sobre sus víctimas, los delincuentes envían notas de amenaza a impresoras corporativas o contactan directamente con empleados de las empresas por teléfono.

Especialistas del FBI, CISA y ACSC instan a las organizaciones a aplicar recomendaciones para minimizar el riesgo de ataques. Entre las medidas clave: auditorías de acceso remoto, segmentación estricta de la red, uso de autenticación multifactor (MFA) y actualizaciones regulares de los sistemas. También se recomienda realizar copias de seguridad de datos y pruebas regulares de los mecanismos de defensa para garantizar que estén alineados con los métodos de los atacantes descritos en el informe.