BianLian

BianLian è un gruppo di ransomware noto per aver preso di mira i settori delle infrastrutture critiche attraverso sofisticate tecniche di esfiltrazione ed estorsione dei dati, utilizzando inizialmente un modello di doppia estorsione prima di passare alla pura estorsione dei dati.

La vostra organizzazione è al sicuro dagli attacchi di BianLian?

L'origine di BianLian

BianLian è un gruppo di ransomware ed estorsione di dati che probabilmente opera dalla Russia, con più affiliati basati nella stessa regione. Il gruppo è attivo dal giugno 2022 e inizialmente utilizzava un modello di doppia estorsione, combinando il furto di dati con la crittografia dei file. Tuttavia, a partire dal gennaio 2024, BianLian è passato a un modello di estorsione basato esclusivamente sull'esfiltrazione. Ora si concentra esclusivamente sul furto di dati e sulla richiesta di pagamento per evitare la divulgazione pubblica, senza più crittografare i sistemi delle vittime. Il loro nome, probabilmente scelto per attribuire in modo errato la posizione, riflette il loro tentativo di complicare gli sforzi di attribuzione.

Obiettivi

Obiettivi di BianLian

Paesi presi di mira da BianLian

La maggior parte degli attacchi di BianLian si concentra negli Stati Uniti, che rappresentano il 57,8% degli attacchi. Altri obiettivi significativi sono il Regno Unito (10,2%), il Canada (6,8%) e l'India (4,8%). Inoltre, sono stati colpiti anche Paesi come Australia, Svezia, Germania e Austria, anche se in misura minore. Questa distribuzione sottolinea l'attenzione del gruppo verso i Paesi sviluppati con solide infrastrutture digitali e quantità significative di dati preziosi.

Fonte: Ransomware.live

Industrie prese di mira da BianLian

BianLian ha mostrato una marcata preferenza per alcuni settori industriali: il settore sanitario è quello che ha subito il maggior numero di attacchi, seguito da quello manifatturiero, dei servizi professionali e legali, dell'alta tecnologia e delle costruzioni. Altri obiettivi degni di nota sono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo schema evidenzia l'attenzione di BianLian per i settori che gestiscono dati sensibili e critici, rendendoli obiettivi privilegiati per estorsioni e interruzioni.

Fonte: Unità 42 di Palo Alto

Industrie prese di mira da BianLian

BianLian ha mostrato una marcata preferenza per alcuni settori industriali: il settore sanitario è quello che ha subito il maggior numero di attacchi, seguito da quello manifatturiero, dei servizi professionali e legali, dell'alta tecnologia e delle costruzioni. Altri obiettivi degni di nota sono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo schema evidenzia l'attenzione di BianLian per i settori che gestiscono dati sensibili e critici, rendendoli obiettivi privilegiati per estorsioni e interruzioni.

Fonte: Unità 42 di Palo Alto

Le vittime di BianLian

BianLian ha preso di mira più di 508 vittime , tra cui aziende di medie e grandi dimensioni nei settori finanziario, sanitario e dello sviluppo immobiliare. La metodologia del gruppo, che consiste nello sfruttare le credenziali RDP compromesse e nell'esfiltrare i dati sensibili, ha portato a significativi danni finanziari e di reputazione per le organizzazioni colpite.

Fonte: Ransomware.live

Metodo di attacco

Il metodo di attacco di BianLian

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

BianLian ottiene l'accesso alle reti attraverso credenziali compromesse del Remote Desktop Protocol (RDP), ottenute tramite phishing o dai broker di accesso iniziali. Sfrutta anche le vulnerabilità delle applicazioni rivolte al pubblico, come le vulnerabilità di ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Sfruttano vulnerabilità come CVE-2022-37969 per aumentare i privilegi sui sistemi Windows.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disabilita gli strumenti antivirus, tra cui Windows Defender e la protezione contro le manomissioni di Sophos, utilizzando PowerShell e modifiche al registro di sistema. Utilizzano anche il packing UPX per offuscare il loro malware.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Gli attori di BianLian rubano le credenziali scaricando la memoria del Local Security Authority Subsystem Service (LSASS) e cercando le credenziali in chiaro memorizzate nei file.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Utilizzando strumenti come Advanced Port Scanner e SharpShares, essi enumerano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente dell'obiettivo.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Utilizzano RDP, PsExec e connessioni Server Message Block (SMB) per muoversi lateralmente all'interno delle reti.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I dati sensibili vengono identificati, compressi e crittografati prima di essere messi in scena per l'esfiltrazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati vengono rubati utilizzando FTP, Rclone o Mega. A differenza delle operazioni precedenti, i dati di endpoint non vengono più crittografati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Le operazioni di BianLian culminano nell'estorsione, in cui minacciano di divulgare pubblicamente i dati rubati, facendo leva sulla paura delle vittime di subire conseguenze reputazionali, finanziarie e legali per chiedere il pagamento di un riscatto.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

BianLian ottiene l'accesso alle reti attraverso credenziali compromesse del Remote Desktop Protocol (RDP), ottenute tramite phishing o dai broker di accesso iniziali. Sfrutta anche le vulnerabilità delle applicazioni rivolte al pubblico, come le vulnerabilità di ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Sfruttano vulnerabilità come CVE-2022-37969 per aumentare i privilegi sui sistemi Windows.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Il gruppo disabilita gli strumenti antivirus, tra cui Windows Defender e la protezione contro le manomissioni di Sophos, utilizzando PowerShell e modifiche al registro di sistema. Utilizzano anche il packing UPX per offuscare il loro malware.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Gli attori di BianLian rubano le credenziali scaricando la memoria del Local Security Authority Subsystem Service (LSASS) e cercando le credenziali in chiaro memorizzate nei file.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Utilizzando strumenti come Advanced Port Scanner e SharpShares, essi enumerano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente dell'obiettivo.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Utilizzano RDP, PsExec e connessioni Server Message Block (SMB) per muoversi lateralmente all'interno delle reti.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

I dati sensibili vengono identificati, compressi e crittografati prima di essere messi in scena per l'esfiltrazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione
Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati vengono rubati utilizzando FTP, Rclone o Mega. A differenza delle operazioni precedenti, i dati di endpoint non vengono più crittografati.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Le operazioni di BianLian culminano nell'estorsione, in cui minacciano di divulgare pubblicamente i dati rubati, facendo leva sulla paura delle vittime di subire conseguenze reputazionali, finanziarie e legali per chiedere il pagamento di un riscatto.

MITRE ATT&CK Mappatura

TTP utilizzati da BianLian

BianLian impiega diversi TTP allineati con il quadro di riferimento MITRE ATT&CK . Alcuni dei principali TTP includono:

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare BianLian con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware:

DOMANDE FREQUENTI

Qual è il metodo principale di BianLian per ottenere l'accesso iniziale?

BianLian ottiene principalmente l'accesso iniziale attraverso credenziali RDP compromesse, spesso ottenute tramite phishing o da broker di accesso iniziale.

Come fa BianLian a eludere il rilevamento?

Disattivano gli strumenti antivirus e le funzioni di protezione dalle manomissioni utilizzando PowerShell e modificano il registro di Windows per evitare il rilevamento.

Quali sono i principali obiettivi di BianLian?

BianLian si rivolge ai settori delle infrastrutture critiche negli Stati Uniti e alle imprese private in Australia, compresi settori come la sanità, i servizi finanziari e lo sviluppo immobiliare.

Come fa BianLian a esfiltrare i dati?

BianLian esfiltra i dati utilizzando FTP, Rclone o Mega, caricando i file sensibili sui servizi di archiviazione di cloud .

Quali cambiamenti ha apportato BianLian alle sue tattiche di estorsione nel 2023?

Nel 2023, BianLian è passato dalla crittografia dei sistemi delle vittime all'estorsione basata sull'esfiltrazione, minacciando di rilasciare i dati rubati in assenza di pagamento.

Quali strumenti utilizza BianLian per la scoperta della rete?

Utilizzano strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle per identificare obiettivi importanti all'interno di una rete.

Come fa BianLian ad aumentare i privilegi all'interno di una rete?

BianLian attiva gli account di amministratore locale e modifica le password per elevare i privilegi, facilitando un ulteriore sfruttamento.

Quali metodi utilizza BianLian per il movimento laterale?

BianLian utilizza PsExec e RDP con credenziali valide per gli spostamenti laterali attraverso la rete.

Come possono le organizzazioni proteggersi dalle tattiche di BianLian?

Implementate controlli rigorosi sugli strumenti di accesso remoto, disabilitate i servizi non necessari, applicate politiche di password forti e assicurate aggiornamenti e patch software regolari.

Quale ruolo possono svolgere le soluzioni XDR nella difesa da BianLian?

Le soluzioni XDR possono aiutare fornendo visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .