BianLian
BianLian ist eine Gruppe ( ransomware ), die dafür bekannt ist, kritische Infrastrukturen durch ausgeklügelte Datenexfiltrations- und Erpressungstechniken ins Visier zu nehmen, wobei sie zunächst ein Doppelerpressungsmodell anwandte, bevor sie zur reinen Datenerpressung überging.
Der Ursprung von BianLian
BianLian ist eine ransomware und Datenerpressungsgruppe, die wahrscheinlich von Russland aus operiert und mehrere Zweigstellen in der gleichen Region unterhält. Die Gruppe ist seit Juni 2022 aktiv und nutzte zunächst ein doppeltes Erpressungsmodell, das Datendiebstahl mit Dateiverschlüsselung kombinierte. Seit Januar 2024 ist BianLian jedoch vollständig zu einem reinen Erpressungsmodell übergegangen, bei dem es um Exfiltration geht. Sie konzentrieren sich jetzt ausschließlich auf den Diebstahl von Daten und fordern Zahlungen, um die Veröffentlichung zu verhindern, und verschlüsseln die Systeme der Opfer nicht mehr. Ihr Name, der wahrscheinlich gewählt wurde, um den Standort falsch zuzuordnen, spiegelt ihren Versuch wider, die Zuordnung zu erschweren.
Von BianLian anvisierte Länder
Der Großteil der Angriffe von BianLian konzentriert sich auf die Vereinigten Staaten, auf die 57,8 % der Angriffe entfallen. Weitere wichtige Ziele sind das Vereinigte Königreich (10,2 %), Kanada (6,8 %) und Indien (4,8 %). Darüber hinaus waren auch Länder wie Australien, Schweden, Deutschland und Österreich betroffen, wenn auch in geringerem Ausmaß. Diese Verteilung unterstreicht den Fokus der Gruppe auf Industrienationen mit robusten digitalen Infrastrukturen und großen Mengen an wertvollen Daten.
Zielbranchen von BianLian
BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.
Quelle: Palo Alto's Einheit 42
Die Opfer von BianLian
BianLian hatte es auf mehr als 522 Opfer abgesehen, darunter mittlere bis große Unternehmen aus den Bereichen Finanzen, Gesundheitswesen und Immobilienentwicklung. Die Methode der Gruppe, kompromittierte RDP-Anmeldeinformationen auszunutzen und sensible Daten zu exfiltrieren, hat den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.
Die Angriffsmethode von BianLian
BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.
Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.
Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.
BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.
Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.
Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.
Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.
Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.
Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.
BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.
Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.
Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.
BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.
Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.
Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.
Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.
Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.
Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.
Von BianLian verwendete TTPs
Wie man BianLian erkennt mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden:
Häufig gestellte Fragen
Was ist BianLians primäre Methode, um sich Zugang zu verschaffen?
BianLian verschafft sich in erster Linie über kompromittierte RDP-Anmeldeinformationen Zugang, die er häufig über phishing oder von Erstzugriffs-Brokern erhält.
Wie entgeht BianLian der Entdeckung?
Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und ändern die Windows-Registrierung, um eine Erkennung zu vermeiden.
Was sind die Hauptziele von BianLian?
BianLian zielt auf kritische Infrastruktursektoren in den USA und private Unternehmen in Australien ab, einschließlich Sektoren wie Gesundheitswesen, Finanzdienstleistungen und Immobilienentwicklung.
Wie exfiltriert BianLian Daten?
BianLian exfiltriert Daten über FTP, Rclone oder Mega und lädt sensible Dateien auf cloud hoch.
Welche Änderungen hat BianLian im Jahr 2023 an ihren Erpressungstaktiken vorgenommen?
Im Jahr 2023 ging BianLian von der Verschlüsselung der Systeme seiner Opfer zur Erpressung durch Exfiltration über und drohte damit, die gestohlenen Daten herauszugeben, wenn er nicht bezahlt würde.
Welche Tools verwendet BianLian für die Netzwerkerkennung?
Sie verwenden Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle, um wertvolle Ziele in einem Netzwerk zu identifizieren.
Wie eskaliert BianLian die Privilegien innerhalb eines Netzwerks?
BianLian aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen und weitere Angriffe zu ermöglichen.
Welche Methoden verwendet BianLian für die seitliche Bewegung?
BianLian verwendet PsExec und RDP mit gültigen Anmeldeinformationen für laterale Bewegungen im Netzwerk.
Wie können sich Unternehmen gegen BianLians Taktiken schützen?
Führen Sie strenge Kontrollen für Fernzugriffstools ein, deaktivieren Sie unnötige Dienste, setzen Sie strenge Kennwortrichtlinien durch und sorgen Sie für regelmäßige Software-Updates und Patches.
Welche Rolle können XDR-Lösungen bei der Abwehr von BianLian spielen?
XDR-Lösungen können dabei helfen, indem sie umfassende Transparenz und automatisierte Reaktionsmöglichkeiten bieten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und abzuschwächen.