La vostra organizzazione è al sicuro dagli attacchi di BianLian?

L'origine di BianLian

BianLian è un gruppo di criminali informatici che sviluppa, distribuisce ed estorce ransomware, attivo dal giugno 2022. Inizialmente, utilizzava un modello di doppia estorsione, crittografando i sistemi delle vittime ed esfiltrare i dati. Tuttavia, intorno al gennaio 2023, sono passati a un'estorsione basata principalmente sull'esfiltrazione, in cui rubano i dati e minacciano di rilasciarli a meno che non venga pagato un riscatto. Il gruppo ha preso di mira organizzazioni in diversi settori delle infrastrutture critiche statunitensi e imprese private in Australia.

Obiettivi

Obiettivi di BianLian

Paesi presi di mira da BianLian

La maggior parte degli attacchi di BianLian si concentra negli Stati Uniti, che rappresentano il 57,8% degli attacchi. Altri obiettivi significativi sono il Regno Unito (10,2%), il Canada (6,8%) e l'India (4,8%). Inoltre, sono stati colpiti anche Paesi come Australia, Svezia, Germania e Austria, anche se in misura minore. Questa distribuzione sottolinea l'attenzione del gruppo verso i Paesi sviluppati con solide infrastrutture digitali e quantità significative di dati preziosi.

^Fonte:^SOCRadar

Industrie prese di mira da BianLian

BianLian ha mostrato una marcata preferenza per alcuni settori industriali: il settore sanitario è quello che ha subito il maggior numero di attacchi, seguito da quello manifatturiero, dei servizi professionali e legali, dell'alta tecnologia e delle costruzioni. Altri obiettivi degni di nota sono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo schema evidenzia l'attenzione di BianLian per i settori che gestiscono dati sensibili e critici, rendendoli obiettivi privilegiati per estorsioni e interruzioni.

^Fonte:^{Unità 42 di Palo Alto}

Industrie prese di mira da BianLian

BianLian ha mostrato una marcata preferenza per alcuni settori industriali: il settore sanitario è quello che ha subito il maggior numero di attacchi, seguito da quello manifatturiero, dei servizi professionali e legali, dell'alta tecnologia e delle costruzioni. Altri obiettivi degni di nota sono i trasporti e la logistica, il commercio all'ingrosso e al dettaglio, i servizi finanziari e l'istruzione. Questo schema evidenzia l'attenzione di BianLian per i settori che gestiscono dati sensibili e critici, rendendoli obiettivi privilegiati per estorsioni e interruzioni.

^Fonte:^{Unità 42 di Palo Alto}

Le vittime di BianLian

BianLian ha preso di mira più di 425 vittime , tra cui aziende di medie e grandi dimensioni nei settori finanziario, sanitario e dello sviluppo immobiliare. La metodologia del gruppo, che consiste nello sfruttare le credenziali RDP compromesse e nell'esfiltrare i dati sensibili, ha portato a significativi danni finanziari e di reputazione per le organizzazioni colpite.

^Fonte:^{Ransomware.live}

Metodo di attacco

Il metodo di attacco di BianLian

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

BianLian ottiene l'accesso iniziale attraverso credenziali RDP (Remote Desktop Protocol) compromesse, spesso ottenute da broker di accesso iniziale o tramite campagne phishing . Sfrutta anche le vulnerabilità dei servizi di accesso remoto.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Il gruppo attiva gli account di amministratore locale e modifica le password per elevare i privilegi, consentendo un ulteriore sfruttamento della rete.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Disattivano gli strumenti antivirus e le funzioni di protezione dalle manomissioni utilizzando PowerShell e Windows Command Shell, modificando il registro di sistema per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

BianLian raccoglie le credenziali dalla memoria del Local Security Authority Subsystem Service (LSASS) e cerca credenziali non protette sul computer locale utilizzando vari strumenti a riga di comando.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Utilizzando strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle, BianLian effettua una ricognizione approfondita della rete e della directory attiva per identificare obiettivi di valore.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Il gruppo utilizza strumenti come PsExec e RDP con credenziali valide per muoversi lateralmente all'interno della rete, sfruttando vulnerabilità come la vulnerabilità Netlogon (CVE-2020-1472).

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

BianLian utilizza malware per enumerare il registro e i file, copiando i dati degli appunti per raccogliere informazioni sensibili a scopo di estorsione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Distribuiscono backdoor personalizzate e utilizzano software di accesso remoto legittimo (ad esempio, TeamViewer, Atera Agent) per mantenere la persistenza e il controllo sui sistemi compromessi.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

L'esfiltrazione dei dati avviene tramite File Transfer Protocol (FTP), Rclone o Mega, mentre i file sensibili vengono caricati sui servizi di archiviazione di cloud per essere ulteriormente sfruttati nei tentativi di estorsione.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Il gruppo passa all'estorsione dei dati minacciando di rilasciare i dati esfiltrati a meno che non venga pagato un riscatto. Hanno utilizzato tattiche come la stampa di note di riscatto sulle stampanti di rete e le telefonate minatorie alle vittime.

Accesso iniziale

BianLian ottiene l'accesso iniziale attraverso credenziali RDP (Remote Desktop Protocol) compromesse, spesso ottenute da broker di accesso iniziale o tramite campagne phishing . Sfrutta anche le vulnerabilità dei servizi di accesso remoto.

Escalation dei privilegi

Il gruppo attiva gli account di amministratore locale e modifica le password per elevare i privilegi, consentendo un ulteriore sfruttamento della rete.

Difesa Evasione

Disattivano gli strumenti antivirus e le funzioni di protezione dalle manomissioni utilizzando PowerShell e Windows Command Shell, modificando il registro di sistema per evitare il rilevamento.

Accesso alle credenziali

BianLian raccoglie le credenziali dalla memoria del Local Security Authority Subsystem Service (LSASS) e cerca credenziali non protette sul computer locale utilizzando vari strumenti a riga di comando.

Scoperta

Utilizzando strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle, BianLian effettua una ricognizione approfondita della rete e della directory attiva per identificare obiettivi di valore.

Movimento laterale

Il gruppo utilizza strumenti come PsExec e RDP con credenziali valide per muoversi lateralmente all'interno della rete, sfruttando vulnerabilità come la vulnerabilità Netlogon (CVE-2020-1472).

Collezione

BianLian utilizza malware per enumerare il registro e i file, copiando i dati degli appunti per raccogliere informazioni sensibili a scopo di estorsione.

Esecuzione

Distribuiscono backdoor personalizzate e utilizzano software di accesso remoto legittimo (ad esempio, TeamViewer, Atera Agent) per mantenere la persistenza e il controllo sui sistemi compromessi.

Esfiltrazione

L'esfiltrazione dei dati avviene tramite File Transfer Protocol (FTP), Rclone o Mega, mentre i file sensibili vengono caricati sui servizi di archiviazione di cloud per essere ulteriormente sfruttati nei tentativi di estorsione.

Impatto

Il gruppo passa all'estorsione dei dati minacciando di rilasciare i dati esfiltrati a meno che non venga pagato un riscatto. Hanno utilizzato tattiche come la stampa di note di riscatto sulle stampanti di rete e le telefonate minatorie alle vittime.

MITRE ATT&CK Mappatura

TTP utilizzati da BianLian

BianLian impiega diversi TTP allineati con il quadro di riferimento MITRE ATT&CK . Alcuni dei principali TTP includono:

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1136

Create Account

T1098

Account Manipulation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1112

Modify Registry

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1552

Unsecured Credentials

T1003

OS Credential Dumping

TA0007: Discovery

T1482

Domain Trust Discovery

T1135

Network Share Discovery

T1087

Account Discovery

T1083

File and Directory Discovery

T1069

Permission Groups Discovery

T1046

Network Service Discovery

T1033

System Owner/User Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1219

Remote Access Software

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1537

Transfer Data to Cloud Account

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come rilevare BianLian con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Qual è il metodo principale di BianLian per ottenere l'accesso iniziale?

BianLian ottiene principalmente l'accesso iniziale attraverso credenziali RDP compromesse, spesso ottenute tramite phishing o da broker di accesso iniziale.

Come fa BianLian a eludere il rilevamento?

Disattivano gli strumenti antivirus e le funzioni di protezione dalle manomissioni utilizzando PowerShell e modificano il registro di Windows per evitare il rilevamento.

Quali sono i principali obiettivi di BianLian?

BianLian si rivolge ai settori delle infrastrutture critiche negli Stati Uniti e alle imprese private in Australia, compresi settori come la sanità, i servizi finanziari e lo sviluppo immobiliare.

Come fa BianLian a esfiltrare i dati?

BianLian esfiltra i dati utilizzando FTP, Rclone o Mega, caricando i file sensibili sui servizi di archiviazione di cloud .

Quali cambiamenti ha apportato BianLian alle sue tattiche di estorsione nel 2023?

Nel 2023, BianLian è passato dalla crittografia dei sistemi delle vittime all'estorsione basata sull'esfiltrazione, minacciando di rilasciare i dati rubati in assenza di pagamento.

Quali strumenti utilizza BianLian per la scoperta della rete?

Utilizzano strumenti come Advanced Port Scanner, SoftPerfect Network Scanner e PingCastle per identificare obiettivi importanti all'interno di una rete.

Come fa BianLian ad aumentare i privilegi all'interno di una rete?

BianLian attiva gli account di amministratore locale e modifica le password per elevare i privilegi, facilitando un ulteriore sfruttamento.

Quali metodi utilizza BianLian per il movimento laterale?

BianLian utilizza PsExec e RDP con credenziali valide per gli spostamenti laterali attraverso la rete.

Come possono le organizzazioni proteggersi dalle tattiche di BianLian?

Implementate controlli rigorosi sugli strumenti di accesso remoto, disabilitate i servizi non necessari, applicate politiche di password forti e assicurate aggiornamenti e patch software regolari.

Quale ruolo possono svolgere le soluzioni XDR nella difesa da BianLian?

Le soluzioni XDR possono aiutare fornendo visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .

La vostra organizzazione è al sicuro dagli attacchi di BianLian?

Valutare l'esposizione agli attacchi