Impresora como herramienta: el nuevo método de chantaje de BianLian alcanza infraestructuras críticas
El FBI reveló cómo ha cambiado la táctica de los ciberdelincuentes en 2024.
El FBI, junto con la agencia CISA y el Centro Australiano de Ciberseguridad (ACSC), publicaron un boletín informativo sobre los métodos, tácticas y procedimientos (TTPs), así como los indicadores de compromiso (IOC) relacionados con el grupo BianLian. Este grupo es conocido por desarrollar y utilizar programas de ransomware, además de practicar extorsión.
BianLian actúa activamente desde 2022, atacando sectores críticos de infraestructura en Estados Unidos y Australia, incluidos negocios de servicios profesionales y construcción. Inicialmente, los delincuentes utilizaban un esquema doble de extorsión: cifraban los datos y amenazaban con publicarlos. Sin embargo, desde enero de 2023, su método principal ha sido la recopilación y extorsión de datos sin cifrado, y desde enero de 2024, el cifrado fue completamente eliminado de sus tácticas de ataque.
Para acceder a las redes, los delincuentes utilizan credenciales robadas de RDP y realizan ataques aprovechando vulnerabilidades como ProxyShell. Una vez que logran acceso a los sistemas, instalan herramientas de gestión remota y ocultación del centro de mando, como Ngrok y Rsocks. También elevan privilegios mediante la explotación de la vulnerabilidad CVE-2022-37969 (calificación CVSS: 7.8), que afecta al controlador CLFS en Windows.
Para ocultar su actividad, los delincuentes emplean PowerShell y Windows Command Shell para desactivar soluciones antivirus y protecciones, además de ofuscar archivos. También utilizan herramientas como Advanced Port Scanner para escanear redes y scripts para recopilar credenciales y datos de Active Directory.
El grupo BianLian recopila archivos confidenciales mediante scripts de PowerShell que buscan y comprimen datos antes de transferirlos a través de FTP, Rclone o el servicio Mega. Para aumentar la presión sobre sus víctimas, los delincuentes envían notas de amenaza a impresoras corporativas o contactan directamente con empleados de las empresas por teléfono.
Especialistas del FBI, CISA y ACSC instan a las organizaciones a aplicar recomendaciones para minimizar el riesgo de ataques. Entre las medidas clave: auditorías de acceso remoto, segmentación estricta de la red, uso de autenticación multifactor (MFA) y actualizaciones regulares de los sistemas. También se recomienda realizar copias de seguridad de datos y pruebas regulares de los mecanismos de defensa para garantizar que estén alineados con los métodos de los atacantes descritos en el informe.
¿Estás cansado de que Internet sepa todo sobre ti?