BianLian
BianLian era un gruppo di ransomware noto per aver preso di mira settori infrastrutturali critici attraverso sofisticate tecniche di esfiltrazione dei dati e di estorsione, inizialmente utilizzando un modello di doppia estorsione prima di passare alla pura estorsione dei dati.
L'origine del BianLian
BianLian è un gruppo dedito al ransomware e all'estorsione di dati che opera probabilmente dalla Russia, con diversi affiliati con sede nella stessa regione. Il gruppo è attivo dal giugno 2022 e inizialmente utilizzava un modello di doppia estorsione, combinando il furto di dati con la crittografia dei file. Tuttavia, a partire da gennaio 2024, BianLian è passato completamente a un modello di estorsione basato esclusivamente sull'esfiltrazione. Ora si concentra esclusivamente sul furto di dati e sulla richiesta di pagamento per impedire la divulgazione pubblica, senza più crittografare i sistemi delle vittime. Il suo nome, probabilmente scelto per attribuire erroneamente la sua ubicazione, riflette il suo tentativo di complicare gli sforzi di attribuzione.
Paesi presi di mira da BianLian
La maggior parte degli attacchi di BianLian si concentra negli Stati Uniti, che rappresentano il 57,8% degli attacchi. Altri obiettivi significativi includono il Regno Unito (10,2%), il Canada (6,8%) e l'India (4,8%). Inoltre, anche paesi come Australia, Svezia, Germania e Austria sono stati colpiti, sebbene in misura minore. Questa distribuzione sottolinea l'attenzione del gruppo verso i paesi sviluppati con infrastrutture digitali robuste e quantità significative di dati preziosi.
Settori target di BianLian
BianLian ha mostrato una spiccata preferenza per determinati settori, con il settore sanitario che ha registrato il maggior numero di attacchi, seguito dal settore manifatturiero, dai servizi professionali e legali, dall'alta tecnologia e dall'edilizia. Altri obiettivi degni di nota includono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo modello evidenzia l'attenzione di BianLian verso i settori che gestiscono dati sensibili e critici, rendendoli obiettivi primari per estorsioni e interruzioni.
Fonte: Unità 42 di Palo Alto
Le vittime di BianLian
BianLian ha preso di mira oltre 522 vittime, tra cui medie e grandi imprese nei settori finanziario, sanitario e immobiliare. La metodologia utilizzata dal gruppo, che consisteva nello sfruttare credenziali RDP compromesse e sottrarre dati sensibili, ha causato danni finanziari e reputazionali significativi alle organizzazioni colpite.
Il metodo di attacco di BianLian
BianLian ottiene l'accesso alle reti tramite credenziali Remote Desktop Protocol (RDP) compromesse, ottenute tramite phishing da broker di accesso iniziale. Sfruttano inoltre le vulnerabilità delle applicazioni pubbliche, come le vulnerabilità ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Sfruttano vulnerabilità come CVE-2022-37969 per aumentare i privilegi sui sistemi Windows.
Il gruppo disabilita gli strumenti antivirus, inclusi Windows Defender e Sophos Tamper Protection, utilizzando PowerShell e modifiche al registro. Utilizza inoltre il packing UPX per offuscare malware proprio malware.
Gli attori BianLian rubano le credenziali scaricando la memoria del Local Security Authority Subsystem Service (LSASS) e cercando le credenziali in chiaro memorizzate nei file.
Utilizzando strumenti come Advanced Port Scanner e SharpShares, enumerano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente del bersaglio.
Utilizzano connessioni RDP, PsExec e Server Message Block (SMB) per il movimento laterale all'interno delle reti.
I dati sensibili vengono identificati, compressi e crittografati prima di essere preparati per l'esfiltrazione.
I dati vengono rubati utilizzando FTP, Rclone o Mega. A differenza delle loro operazioni precedenti, non crittografano più endpoint .
Le operazioni di BianLian culminano nell'estorsione, in cui minacciano di divulgare pubblicamente i dati rubati, sfruttando la paura della vittima di conseguenze reputazionali, finanziarie e legali per richiedere il pagamento di un riscatto.
BianLian ottiene l'accesso alle reti tramite credenziali Remote Desktop Protocol (RDP) compromesse, ottenute tramite phishing da broker di accesso iniziale. Sfruttano inoltre le vulnerabilità delle applicazioni pubbliche, come le vulnerabilità ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Sfruttano vulnerabilità come CVE-2022-37969 per aumentare i privilegi sui sistemi Windows.
Il gruppo disabilita gli strumenti antivirus, inclusi Windows Defender e Sophos Tamper Protection, utilizzando PowerShell e modifiche al registro. Utilizza inoltre il packing UPX per offuscare malware proprio malware.
Gli attori BianLian rubano le credenziali scaricando la memoria del Local Security Authority Subsystem Service (LSASS) e cercando le credenziali in chiaro memorizzate nei file.
Utilizzando strumenti come Advanced Port Scanner e SharpShares, enumerano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente del bersaglio.
Utilizzano connessioni RDP, PsExec e Server Message Block (SMB) per il movimento laterale all'interno delle reti.
I dati sensibili vengono identificati, compressi e crittografati prima di essere preparati per l'esfiltrazione.
I dati vengono rubati utilizzando FTP, Rclone o Mega. A differenza delle loro operazioni precedenti, non crittografano più endpoint .
Le operazioni di BianLian culminano nell'estorsione, in cui minacciano di divulgare pubblicamente i dati rubati, sfruttando la paura della vittima di conseguenze reputazionali, finanziarie e legali per richiedere il pagamento di un riscatto.
TTP utilizzati da BianLian
Come rilevare BianLian con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware:
Domande frequenti
Qual è il metodo principale utilizzato da BianLian per ottenere l'accesso iniziale?
BianLian ottiene l'accesso iniziale principalmente tramite credenziali RDP compromesse, spesso ottenute tramite phishing da broker di accesso iniziale.
In che modo BianLian elude il rilevamento?
Disattivano gli strumenti antivirus e le funzioni di protezione contro le manomissioni utilizzando PowerShell e modificano il Registro di sistema di Windows per evitare il rilevamento.
Quali sono gli obiettivi principali di BianLian?
BianLian prende di mira settori infrastrutturali critici negli Stati Uniti e imprese private in Australia, compresi settori quali sanità, servizi finanziari e sviluppo immobiliare.
In che modo BianLian esfiltra i dati?
BianLian esfiltra i dati utilizzando FTP, Rclone o Mega, caricando i file sensibili sui servizi cloud .
Quali cambiamenti ha apportato BianLian alle proprie tattiche di estorsione nel 2023?
Nel 2023, BianLian è passato dalla crittografia dei sistemi delle vittime a un'estorsione basata sull'esfiltrazione, minacciando di divulgare i dati rubati se non fosse stato pagato.
Quali strumenti utilizza BianLian per il rilevamento della rete?
Utilizzano strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle per identificare obiettivi di valore all'interno di una rete.
In che modo BianLian aumenta i privilegi all'interno di una rete?
BianLian attiva gli account amministratore locali e modifica le password per elevare i privilegi, facilitando ulteriori sfruttamenti.
Quali metodi utilizza BianLian per il movimento laterale?
BianLian utilizza PsExec e RDP con credenziali valide per il movimento laterale attraverso la rete.
Come possono le organizzazioni proteggersi dalle tattiche di BianLian?
Implementare controlli rigorosi sugli strumenti di accesso remoto, disabilitare i servizi non necessari, applicare politiche di password complesse e garantire aggiornamenti e patch software regolari.
Quale ruolo possono svolgere le soluzioni XDR nella difesa contro BianLian?
Le soluzioni XDR possono essere d'aiuto fornendo visibilità completa e funzionalità di risposta automatizzata, rilevando e mitigando attività sospette su endpoint, reti e cloud .