BianLian
BianLian era un gruppo di ransomware noto per prendere di mira settori delle infrastrutture critiche attraverso sofisticate tecniche di esfiltrazione dei dati e di estorsione, utilizzando inizialmente un modello di doppia estorsione prima di passare alla pura estorsione di dati.
L'origine del BianLian
BianLian è un gruppo di ransomware e ricatto informatico che opera presumibilmente dalla Russia, con diversi affiliati con sede nella stessa regione. Il gruppo è attivo dal giugno 2022 e inizialmente utilizzava un modello di doppia estorsione, combinando il furto di dati con la crittografia dei file. Tuttavia, a partire da gennaio 2024, BianLian è passato completamente a un modello di estorsione basato esclusivamente sull'esfiltrazione. Ora si concentra esclusivamente sul furto di dati e sulla richiesta di pagamento per impedire la divulgazione pubblica, senza più crittografare i sistemi delle vittime. Il loro nome, probabilmente scelto per attribuire erroneamente la loro ubicazione, riflette il loro tentativo di complicare gli sforzi di attribuzione.
Paesi di riferimento di BianLian
La maggior parte degli attacchi di BianLian si concentra negli Stati Uniti, che rappresentano il 57,8% degli attacchi. Altri obiettivi significativi includono il Regno Unito (10,2%), il Canada (6,8%) e l'India (4,8%). Inoltre, anche paesi come l'Australia, la Svezia, la Germania e l'Austria sono stati colpiti, sebbene in misura minore. Questa distribuzione sottolinea l'attenzione del gruppo verso i paesi sviluppati dotati di solide infrastrutture digitali e di notevoli quantità di dati di valore.
Settori di riferimento di BianLian
BianLian ha mostrato una marcata preferenza per determinati settori: il settore sanitario è stato quello più colpito dagli attacchi, seguito dall'industria manifatturiera, dai servizi professionali e legali, dall'alta tecnologia e dall'edilizia. Altri obiettivi degni di nota includono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo andamento evidenzia l'attenzione di BianLian verso i settori che gestiscono dati sensibili e critici, rendendoli obiettivi primari per estorsioni e atti di sabotaggio.
Fonte: Unità 42 di Palo Alto
Le vittime di BianLian
BianLian ha preso di mira oltre 522 vittime, tra cui imprese di medie e grandi dimensioni operanti nei settori finanziario, sanitario e dell'edilizia. La strategia adottata dal gruppo, che consisteva nello sfruttare credenziali RDP compromesse per sottrarre dati sensibili, ha causato ingenti danni finanziari e reputazionali alle organizzazioni colpite.
Il metodo di attacco di BianLian
BianLian ottiene l'accesso alle reti sfruttando credenziali compromesse del protocollo RDP (Remote Desktop Protocol), ottenute tramite phishing da broker di accesso iniziale. Inoltre, sfrutta le vulnerabilità presenti in applicazioni accessibili al pubblico, come quelle relative a ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Sfruttano vulnerabilità come CVE-2022-37969 per elevare i privilegi sui sistemi Windows.
Il gruppo disattiva gli strumenti antivirus, tra cui Windows Defender e la protezione antimanomissione di Sophos, utilizzando PowerShell e apportando modifiche al Registro di sistema. Inoltre, ricorre alla compressione UPX per nascondere malware proprio malware.
Gli attori di BianLian rubano le credenziali scaricando la memoria del servizio LSASS (Local Security Authority Subsystem Service) e cercando le credenziali in chiaro memorizzate nei file.
Utilizzando strumenti come Advanced Port Scanner e SharpShares, individuano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente dell'obiettivo.
Utilizzano connessioni RDP, PsExec e Server Message Block (SMB) per spostarsi lateralmente all'interno delle reti.
I dati sensibili vengono identificati, compressi e crittografati prima di essere preparati per l'esfiltrazione.
I dati vengono sottratti tramite FTP, Rclone o Mega. A differenza delle operazioni precedenti, ora non crittografano più endpoint .
Le attività di BianLian culminano in un ricatto: minacciano infatti di divulgare pubblicamente i dati rubati, sfruttando il timore della vittima per le conseguenze reputazionali, finanziarie e legali al fine di esigere il pagamento di un riscatto.
BianLian ottiene l'accesso alle reti sfruttando credenziali compromesse del protocollo RDP (Remote Desktop Protocol), ottenute tramite phishing da broker di accesso iniziale. Inoltre, sfrutta le vulnerabilità presenti in applicazioni accessibili al pubblico, come quelle relative a ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Sfruttano vulnerabilità come CVE-2022-37969 per elevare i privilegi sui sistemi Windows.
Il gruppo disattiva gli strumenti antivirus, tra cui Windows Defender e la protezione antimanomissione di Sophos, utilizzando PowerShell e apportando modifiche al Registro di sistema. Inoltre, ricorre alla compressione UPX per nascondere malware proprio malware.
Gli attori di BianLian rubano le credenziali scaricando la memoria del servizio LSASS (Local Security Authority Subsystem Service) e cercando le credenziali in chiaro memorizzate nei file.
Utilizzando strumenti come Advanced Port Scanner e SharpShares, individuano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente dell'obiettivo.
Utilizzano connessioni RDP, PsExec e Server Message Block (SMB) per spostarsi lateralmente all'interno delle reti.
I dati sensibili vengono identificati, compressi e crittografati prima di essere preparati per l'esfiltrazione.
I dati vengono sottratti tramite FTP, Rclone o Mega. A differenza delle operazioni precedenti, ora non crittografano più endpoint .
Le attività di BianLian culminano in un ricatto: minacciano infatti di divulgare pubblicamente i dati rubati, sfruttando il timore della vittima per le conseguenze reputazionali, finanziarie e legali al fine di esigere il pagamento di un riscatto.
TTP utilizzati da BianLian
Come rilevare BianLian con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware:
Domande frequenti
Qual è il metodo principale utilizzato da BianLian per ottenere l'accesso iniziale?
BianLian ottiene l'accesso iniziale principalmente tramite credenziali RDP compromesse, spesso ottenute tramite phishing da broker di accesso iniziale.
In che modo BianLian riesce a eludere i sistemi di rilevamento?
Disattivano gli strumenti antivirus e le funzioni di protezione contro le manomissioni tramite PowerShell e modificano il Registro di sistema di Windows per eludere il rilevamento.
Quali sono i principali obiettivi di BianLian?
BianLian punta ai settori delle infrastrutture critiche negli Stati Uniti e alle imprese private in Australia, tra cui il settore sanitario, quello dei servizi finanziari e quello dell'edilizia.
In che modo BianLian sottrae i dati?
BianLian sottrae i dati tramite FTP, Rclone o Mega, caricando file sensibili su servizi cloud .
Quali modifiche ha apportato BianLian alle proprie tattiche di estorsione nel 2023?
Nel 2023, BianLian ha smesso di crittografare i sistemi delle vittime per concentrarsi su un modello di estorsione basato sull'esfiltrazione dei dati, minacciando di rendere pubblici i dati rubati in caso di mancato pagamento.
Quali strumenti utilizza BianLian per l'individuazione della rete?
Utilizzano strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle per individuare obiettivi di valore all'interno di una rete.
In che modo BianLian ottiene privilegi di livello superiore all'interno di una rete?
BianLian attiva gli account amministratore locali e modifica le password per ottenere privilegi più elevati, facilitando così ulteriori attacchi.
Quali metodi utilizza BianLian per il movimento laterale?
BianLian utilizza PsExec e RDP con credenziali valide per spostarsi lateralmente all'interno della rete.
In che modo le organizzazioni possono proteggersi dalle tattiche di BianLian?
Applicare controlli rigorosi sugli strumenti di accesso remoto, disattivare i servizi non necessari, applicare criteri rigorosi in materia di password e garantire aggiornamenti e patch regolari del software.
Quale ruolo possono svolgere le soluzioni XDR nella difesa contro BianLian?
Le soluzioni XDR possono essere d'aiuto fornendo una visibilità completa e funzionalità di risposta automatizzata, individuando e mitigando le attività sospette su endpoint, reti e cloud .