Ist Ihr Unternehmen vor den Angriffen von BianLian sicher?

Der Ursprung von BianLian

BianLian ist eine Cyberkriminellengruppe, die ransomware entwickelt, einsetzt und Daten erpresst und seit Juni 2022 aktiv ist. Ursprünglich verfolgten sie ein doppeltes Erpressungsmodell, indem sie die Systeme der Opfer verschlüsselten und Daten exfiltrierten. Im Januar 2023 ging die Gruppe jedoch zu einer Erpressung über, die hauptsächlich auf Exfiltration basiert, bei der sie Daten stiehlt und damit droht, sie freizugeben, wenn kein Lösegeld gezahlt wird. Die Gruppe hat Organisationen in mehreren kritischen US-Infrastruktursektoren und private Unternehmen in Australien ins Visier genommen.

Ziele

BianLian's Ziele

Von BianLian anvisierte Länder

Der Großteil der Angriffe von BianLian konzentriert sich auf die Vereinigten Staaten, auf die 57,8 % der Angriffe entfallen. Weitere wichtige Ziele sind das Vereinigte Königreich (10,2 %), Kanada (6,8 %) und Indien (4,8 %). Darüber hinaus waren auch Länder wie Australien, Schweden, Deutschland und Österreich betroffen, wenn auch in geringerem Ausmaß. Diese Verteilung unterstreicht den Fokus der Gruppe auf Industrienationen mit robusten digitalen Infrastrukturen und großen Mengen an wertvollen Daten.

^Quelle:^SOCRadar

Zielbranchen von BianLian

BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.

^Quelle:^{Palo Alto's Einheit 42}

Zielbranchen von BianLian

BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.

^Quelle:^{Palo Alto's Einheit 42}

Die Opfer von BianLian

BianLian hatte es auf mehr als 425 Opfer abgesehen, darunter mittlere bis große Unternehmen aus den Bereichen Finanzen, Gesundheitswesen und Immobilienentwicklung. Die Methode der Gruppe, kompromittierte RDP-Anmeldeinformationen auszunutzen und sensible Daten zu exfiltrieren, hat den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.

^Quelle:^{Ransomware.live}

Angriffsmethode

Die Angriffsmethode von BianLian

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

BianLian verschafft sich den ersten Zugang über kompromittierte RDP-Zugangsdaten (Remote Desktop Protocol), die er häufig von Maklern für den Erstzugang oder über phishing Kampagnen erhält. Sie nutzen auch Schwachstellen in Fernzugriffsdiensten aus.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Die Gruppe aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen, was eine weitere Ausbeutung des Netzwerks ermöglicht.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und Windows Command Shell und ändern die Registrierung, um eine Erkennung zu vermeiden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

BianLian sammelt Anmeldedaten aus dem Speicher des Local Security Authority Subsystem Service (LSASS) und sucht mit verschiedenen Befehlszeilentools nach ungesicherten Anmeldedaten auf dem lokalen Rechner.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Mit Hilfe von Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle führt BianLian eine gründliche Netzwerk- und Active-Directory-Erkundung durch, um wertvolle Ziele zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Die Gruppe verwendet Tools wie PsExec und RDP mit gültigen Anmeldeinformationen, um sich seitlich im Netzwerk zu bewegen und Schwachstellen wie die Netlogon-Schwachstelle (CVE-2020-1472) auszunutzen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

BianLian verwendet malware , um die Registrierung und Dateien aufzulisten und Daten aus der Zwischenablage zu kopieren, um sensible Informationen für Erpressungen zu sammeln.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Sie setzen benutzerdefinierte Backdoors ein und verwenden legitime Fernzugriffssoftware (z. B. TeamViewer, Atera Agent), um die Persistenz und Kontrolle über die kompromittierten Systeme aufrechtzuerhalten.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die Daten werden über das File Transfer Protocol (FTP), Rclone oder Mega exfiltriert, wobei sensible Dateien auf cloud hochgeladen werden, um sie für weitere Erpressungsversuche zu nutzen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die Gruppe geht zur Datenerpressung über, indem sie damit droht, exfiltrierte Daten freizugeben, falls kein Lösegeld gezahlt wird. Sie haben Taktiken wie das Drucken von Erpresserbriefen auf Netzwerkdruckern und Drohanrufe bei den Opfern angewandt.

Erster Zugang

BianLian verschafft sich den ersten Zugang über kompromittierte RDP-Zugangsdaten (Remote Desktop Protocol), die er häufig von Maklern für den Erstzugang oder über phishing Kampagnen erhält. Sie nutzen auch Schwachstellen in Fernzugriffsdiensten aus.

Rechte-Eskalation

Die Gruppe aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen, was eine weitere Ausbeutung des Netzwerks ermöglicht.

Verteidigung Umgehung

Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und Windows Command Shell und ändern die Registrierung, um eine Erkennung zu vermeiden.

Zugang zu Anmeldeinformationen

BianLian sammelt Anmeldedaten aus dem Speicher des Local Security Authority Subsystem Service (LSASS) und sucht mit verschiedenen Befehlszeilentools nach ungesicherten Anmeldedaten auf dem lokalen Rechner.

Entdeckung

Mit Hilfe von Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle führt BianLian eine gründliche Netzwerk- und Active-Directory-Erkundung durch, um wertvolle Ziele zu identifizieren.

Seitliche Bewegung

Die Gruppe verwendet Tools wie PsExec und RDP mit gültigen Anmeldeinformationen, um sich seitlich im Netzwerk zu bewegen und Schwachstellen wie die Netlogon-Schwachstelle (CVE-2020-1472) auszunutzen.

Sammlung

BianLian verwendet malware , um die Registrierung und Dateien aufzulisten und Daten aus der Zwischenablage zu kopieren, um sensible Informationen für Erpressungen zu sammeln.

Ausführung

Sie setzen benutzerdefinierte Backdoors ein und verwenden legitime Fernzugriffssoftware (z. B. TeamViewer, Atera Agent), um die Persistenz und Kontrolle über die kompromittierten Systeme aufrechtzuerhalten.

Exfiltration

Die Daten werden über das File Transfer Protocol (FTP), Rclone oder Mega exfiltriert, wobei sensible Dateien auf cloud hochgeladen werden, um sie für weitere Erpressungsversuche zu nutzen.

Auswirkungen

Die Gruppe geht zur Datenerpressung über, indem sie damit droht, exfiltrierte Daten freizugeben, falls kein Lösegeld gezahlt wird. Sie haben Taktiken wie das Drucken von Erpresserbriefen auf Netzwerkdruckern und Drohanrufe bei den Opfern angewandt.

MITRE ATT&CK Kartierung

Von BianLian verwendete TTPs

BianLian setzt verschiedene TTPs ein, die mit dem Rahmenwerk MITRE ATT&CK abgestimmt sind. Einige der wichtigsten TTPs sind:

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1136

Create Account

T1098

Account Manipulation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1112

Modify Registry

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1552

Unsecured Credentials

T1003

OS Credential Dumping

TA0007: Discovery

T1482

Domain Trust Discovery

T1135

Network Share Discovery

T1087

Account Discovery

T1083

File and Directory Discovery

T1069

Permission Groups Discovery

T1046

Network Service Discovery

T1033

System Owner/User Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1219

Remote Access Software

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1537

Transfer Data to Cloud Account

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Plattform-Detektionen

Wie man BianLian erkennt mit Vectra AI

Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Weitere Entdeckungen anzeigen

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist BianLians primäre Methode, um sich Zugang zu verschaffen?

BianLian verschafft sich in erster Linie über kompromittierte RDP-Anmeldeinformationen Zugang, die er häufig über phishing oder von Erstzugriffs-Brokern erhält.

Wie entgeht BianLian der Entdeckung?

Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und ändern die Windows-Registrierung, um eine Erkennung zu vermeiden.

Was sind die Hauptziele von BianLian?

BianLian zielt auf kritische Infrastruktursektoren in den USA und private Unternehmen in Australien ab, einschließlich Sektoren wie Gesundheitswesen, Finanzdienstleistungen und Immobilienentwicklung.

Wie exfiltriert BianLian Daten?

BianLian exfiltriert Daten über FTP, Rclone oder Mega und lädt sensible Dateien auf cloud hoch.

Welche Änderungen hat BianLian im Jahr 2023 an ihren Erpressungstaktiken vorgenommen?

Im Jahr 2023 ging BianLian von der Verschlüsselung der Systeme seiner Opfer zur Erpressung durch Exfiltration über und drohte damit, die gestohlenen Daten herauszugeben, wenn er nicht bezahlt würde.

Welche Tools verwendet BianLian für die Netzwerkerkennung?

Sie verwenden Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle, um wertvolle Ziele in einem Netzwerk zu identifizieren.

Wie eskaliert BianLian die Privilegien innerhalb eines Netzwerks?

BianLian aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen und weitere Angriffe zu ermöglichen.

Welche Methoden verwendet BianLian für die seitliche Bewegung?

BianLian verwendet PsExec und RDP mit gültigen Anmeldeinformationen für laterale Bewegungen im Netzwerk.

Wie können sich Unternehmen gegen BianLians Taktiken schützen?

Führen Sie strenge Kontrollen für Fernzugriffstools ein, deaktivieren Sie unnötige Dienste, setzen Sie strenge Kennwortrichtlinien durch und sorgen Sie für regelmäßige Software-Updates und Patches.

Welche Rolle können XDR-Lösungen bei der Abwehr von BianLian spielen?

XDR-Lösungen können dabei helfen, indem sie umfassende Transparenz und automatisierte Reaktionsmöglichkeiten bieten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und abzuschwächen.

Ist Ihr Unternehmen vor den Angriffen von BianLian sicher?

Bewerten Sie Ihr Angriffsrisiko