ФБР говорит предприятиям прекратить использовать программное обеспечение для удаленного рабочего стола — вот почему

ФБР говорит предприятиям прекратить использовать программное обеспечение для удаленного рабочего стола — вот почему

18 мая 2023 г.

ФБР, Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) и Австралийский центр кибербезопасности (ACSC) призывают компании «строго ограничить использование Протокол удаленного рабочего стола (RDP) и другие службы удаленного рабочего стола" и, таким образом, минимизировать угрозу, исходящую от BianLian вымогатели group.

В совместном совете по безопасности правоохранительные органы заявили, что BianLian обычно атакует системы Windows через учетные данные RDP, прежде чем развертывание дополнительного программного обеспечения для кражи дополнительных учетных данных или эксфильтрации конфиденциальных данных и других важных файлов.

Учитывая, что RPD является обычной точкой входа BianLian, запирание двери кажется логичным шагом вперед.

Уменьшение влияния

Правоохранительные органы также заявили, что компаниям следует увеличить ведение журналов PowerShell, добавить блокировку учетных записей на основе времени, а также отслеживать контроллеры домена и активные каталоги на наличие подозрительных новых учетных записей и других подозрительных действий.

"ФБР, CISA и ACSC призывают организации с критической инфраструктурой, а также малые и средние организации выполнять рекомендации, изложенные в разделе "Смягчение последствий" этого бюллетеня, чтобы снизить вероятность и влияние BianLian и других инцидентов с программами-вымогателями, — говорится в бюллетене.

В последний раз мы слышали о BianLian в марте 2023 года, когда исследователи кибербезопасности Redacted заметили, что группа пытается вымогать деньги у предприятий, не зашифровав сначала свои конечные точки.

Исследователи пришли к двум возможным объяснениям того, почему злоумышленники отказались от шифровальщика: одно из них состоит в том, что все это испытание занимает слишком много времени, слишком дорого и излишне, а второе состоит в том, что группа так и не восстановился после дешифратора Avast, выпущенного в январе этого года. В любом случае, если ваш бизнес подвергнется шифрованию программы-вымогателя, ФБР рекомендует не платить требование о выкупе.

Впервые BianLian был обнаружен в июне 2022 года и был нацелен на компании в сфере здравоохранения, а также на другие важные вертикали инфраструктуры.

В отчете The Register говорится, что BianLian на самом деле представляет собой несколько групп программ-вымогателей. растет в размерах и использует новые языки программирования, такие как Go или Rust.

PREVIOUS ARTICLE
NEXT ARTICLE