BianLian è un gruppo di ransomware noto per aver preso di mira i settori delle infrastrutture critiche attraverso sofisticate tecniche di esfiltrazione ed estorsione dei dati, utilizzando inizialmente un modello di doppia estorsione prima di passare alla pura estorsione dei dati.
BianLian è un gruppo di ransomware ed estorsione di dati che probabilmente opera dalla Russia, con più affiliati basati nella stessa regione. Il gruppo è attivo dal giugno 2022 e inizialmente utilizzava un modello di doppia estorsione, combinando il furto di dati con la crittografia dei file. Tuttavia, a partire dal gennaio 2024, BianLian è passato a un modello di estorsione basato esclusivamente sull'esfiltrazione. Ora si concentra esclusivamente sul furto di dati e sulla richiesta di pagamento per evitare la divulgazione pubblica, senza più crittografare i sistemi delle vittime. Il loro nome, probabilmente scelto per attribuire in modo errato la posizione, riflette il loro tentativo di complicare gli sforzi di attribuzione.
La maggior parte degli attacchi di BianLian si concentra negli Stati Uniti, che rappresentano il 57,8% degli attacchi. Altri obiettivi significativi sono il Regno Unito (10,2%), il Canada (6,8%) e l'India (4,8%). Inoltre, sono stati colpiti anche Paesi come Australia, Svezia, Germania e Austria, anche se in misura minore. Questa distribuzione sottolinea l'attenzione del gruppo verso i Paesi sviluppati con solide infrastrutture digitali e quantità significative di dati preziosi.
Fonte: Ransomware.live
BianLian ha mostrato una marcata preferenza per alcuni settori industriali: il settore sanitario è quello che ha subito il maggior numero di attacchi, seguito da quello manifatturiero, dei servizi professionali e legali, dell'alta tecnologia e delle costruzioni. Altri obiettivi degni di nota sono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo schema evidenzia l'attenzione di BianLian per i settori che gestiscono dati sensibili e critici, rendendoli obiettivi privilegiati per estorsioni e interruzioni.
Fonte: Unità 42 di Palo Alto
BianLian ha mostrato una marcata preferenza per alcuni settori industriali: il settore sanitario è quello che ha subito il maggior numero di attacchi, seguito da quello manifatturiero, dei servizi professionali e legali, dell'alta tecnologia e delle costruzioni. Altri obiettivi degni di nota sono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo schema evidenzia l'attenzione di BianLian per i settori che gestiscono dati sensibili e critici, rendendoli obiettivi privilegiati per estorsioni e interruzioni.
Fonte: Unità 42 di Palo Alto
BianLian ha preso di mira più di 508 vittime , tra cui aziende di medie e grandi dimensioni nei settori finanziario, sanitario e dello sviluppo immobiliare. La metodologia del gruppo, che consiste nello sfruttare le credenziali RDP compromesse e nell'esfiltrare i dati sensibili, ha portato a significativi danni finanziari e di reputazione per le organizzazioni colpite.
Fonte: Ransomware.live
BianLian ottiene l'accesso alle reti attraverso credenziali compromesse del Remote Desktop Protocol (RDP), ottenute tramite phishing o dai broker di accesso iniziali. Sfrutta anche le vulnerabilità delle applicazioni rivolte al pubblico, come le vulnerabilità di ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Sfruttano vulnerabilità come CVE-2022-37969 per aumentare i privilegi sui sistemi Windows.
Il gruppo disabilita gli strumenti antivirus, tra cui Windows Defender e la protezione contro le manomissioni di Sophos, utilizzando PowerShell e modifiche al registro di sistema. Utilizzano anche il packing UPX per offuscare il loro malware.
Gli attori di BianLian rubano le credenziali scaricando la memoria del Local Security Authority Subsystem Service (LSASS) e cercando le credenziali in chiaro memorizzate nei file.
Utilizzando strumenti come Advanced Port Scanner e SharpShares, essi enumerano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente dell'obiettivo.
Utilizzano RDP, PsExec e connessioni Server Message Block (SMB) per muoversi lateralmente all'interno delle reti.
I dati sensibili vengono identificati, compressi e crittografati prima di essere messi in scena per l'esfiltrazione.
I dati vengono rubati utilizzando FTP, Rclone o Mega. A differenza delle operazioni precedenti, i dati di endpoint non vengono più crittografati.
Le operazioni di BianLian culminano nell'estorsione, in cui minacciano di divulgare pubblicamente i dati rubati, facendo leva sulla paura delle vittime di subire conseguenze reputazionali, finanziarie e legali per chiedere il pagamento di un riscatto.
BianLian ottiene l'accesso alle reti attraverso credenziali compromesse del Remote Desktop Protocol (RDP), ottenute tramite phishing o dai broker di accesso iniziali. Sfrutta anche le vulnerabilità delle applicazioni rivolte al pubblico, come le vulnerabilità di ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Sfruttano vulnerabilità come CVE-2022-37969 per aumentare i privilegi sui sistemi Windows.
Il gruppo disabilita gli strumenti antivirus, tra cui Windows Defender e la protezione contro le manomissioni di Sophos, utilizzando PowerShell e modifiche al registro di sistema. Utilizzano anche il packing UPX per offuscare il loro malware.
Gli attori di BianLian rubano le credenziali scaricando la memoria del Local Security Authority Subsystem Service (LSASS) e cercando le credenziali in chiaro memorizzate nei file.
Utilizzando strumenti come Advanced Port Scanner e SharpShares, essi enumerano i servizi di rete, le cartelle condivise e gli account di dominio per mappare l'ambiente dell'obiettivo.
Utilizzano RDP, PsExec e connessioni Server Message Block (SMB) per muoversi lateralmente all'interno delle reti.
I dati sensibili vengono identificati, compressi e crittografati prima di essere messi in scena per l'esfiltrazione.
I dati vengono rubati utilizzando FTP, Rclone o Mega. A differenza delle operazioni precedenti, i dati di endpoint non vengono più crittografati.
Le operazioni di BianLian culminano nell'estorsione, in cui minacciano di divulgare pubblicamente i dati rubati, facendo leva sulla paura delle vittime di subire conseguenze reputazionali, finanziarie e legali per chiedere il pagamento di un riscatto.
BianLian impiega diversi TTP allineati con il quadro di riferimento MITRE ATT&CK . Alcuni dei principali TTP includono:
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware:
BianLian ottiene principalmente l'accesso iniziale attraverso credenziali RDP compromesse, spesso ottenute tramite phishing o da broker di accesso iniziale.
Disattivano gli strumenti antivirus e le funzioni di protezione dalle manomissioni utilizzando PowerShell e modificano il registro di Windows per evitare il rilevamento.
BianLian si rivolge ai settori delle infrastrutture critiche negli Stati Uniti e alle imprese private in Australia, compresi settori come la sanità, i servizi finanziari e lo sviluppo immobiliare.
BianLian esfiltra i dati utilizzando FTP, Rclone o Mega, caricando i file sensibili sui servizi di archiviazione di cloud .
Nel 2023, BianLian è passato dalla crittografia dei sistemi delle vittime all'estorsione basata sull'esfiltrazione, minacciando di rilasciare i dati rubati in assenza di pagamento.
Utilizzano strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle per identificare obiettivi importanti all'interno di una rete.
BianLian attiva gli account di amministratore locale e modifica le password per elevare i privilegi, facilitando un ulteriore sfruttamento.
BianLian utilizza PsExec e RDP con credenziali valide per gli spostamenti laterali attraverso la rete.
Implementate controlli rigorosi sugli strumenti di accesso remoto, disabilitate i servizi non necessari, applicate politiche di password forti e assicurate aggiornamenti e patch software regolari.
Le soluzioni XDR possono aiutare fornendo visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .