BianLian ist eine Gruppe ( ransomware ), die dafür bekannt ist, kritische Infrastrukturen durch ausgeklügelte Datenexfiltrations- und Erpressungstechniken ins Visier zu nehmen, wobei sie zunächst ein Doppelerpressungsmodell anwandte, bevor sie zur reinen Datenerpressung überging.
BianLian ist eine ransomware und Datenerpressungsgruppe, die wahrscheinlich von Russland aus operiert und mehrere Zweigstellen in der gleichen Region unterhält. Die Gruppe ist seit Juni 2022 aktiv und nutzte zunächst ein doppeltes Erpressungsmodell, das Datendiebstahl mit Dateiverschlüsselung kombinierte. Seit Januar 2024 ist BianLian jedoch vollständig zu einem reinen Erpressungsmodell übergegangen, bei dem es um Exfiltration geht. Sie konzentrieren sich jetzt ausschließlich auf den Diebstahl von Daten und fordern Zahlungen, um die Veröffentlichung zu verhindern, und verschlüsseln die Systeme der Opfer nicht mehr. Ihr Name, der wahrscheinlich gewählt wurde, um den Standort falsch zuzuordnen, spiegelt ihren Versuch wider, die Zuordnung zu erschweren.
Der Großteil der Angriffe von BianLian konzentriert sich auf die Vereinigten Staaten, auf die 57,8 % der Angriffe entfallen. Weitere wichtige Ziele sind das Vereinigte Königreich (10,2 %), Kanada (6,8 %) und Indien (4,8 %). Darüber hinaus waren auch Länder wie Australien, Schweden, Deutschland und Österreich betroffen, wenn auch in geringerem Ausmaß. Diese Verteilung unterstreicht den Fokus der Gruppe auf Industrienationen mit robusten digitalen Infrastrukturen und großen Mengen an wertvollen Daten.
Quelle: Ransomware.live
BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.
Quelle: Palo Alto's Einheit 42
BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.
Quelle: Palo Alto's Einheit 42
BianLian hatte es auf mehr als 508 Opfer abgesehen, darunter mittlere bis große Unternehmen aus den Bereichen Finanzen, Gesundheitswesen und Immobilienentwicklung. Die Methode der Gruppe, kompromittierte RDP-Anmeldeinformationen auszunutzen und sensible Daten zu exfiltrieren, hat den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.
Quelle: Ransomware.live
BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.
Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.
Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.
BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.
Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.
Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.
Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.
Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.
Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.
BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.
Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.
Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.
BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.
Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.
Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.
Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.
Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.
Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.
BianLian setzt verschiedene TTPs ein, die mit dem Rahmenwerk MITRE ATT&CK abgestimmt sind. Einige der wichtigsten TTPs sind:
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden:
BianLian verschafft sich in erster Linie über kompromittierte RDP-Anmeldeinformationen Zugang, die er häufig über phishing oder von Erstzugriffs-Brokern erhält.
Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und ändern die Windows-Registrierung, um eine Erkennung zu vermeiden.
BianLian zielt auf kritische Infrastruktursektoren in den USA und private Unternehmen in Australien ab, einschließlich Sektoren wie Gesundheitswesen, Finanzdienstleistungen und Immobilienentwicklung.
BianLian exfiltriert Daten über FTP, Rclone oder Mega und lädt sensible Dateien auf cloud hoch.
Im Jahr 2023 ging BianLian von der Verschlüsselung der Systeme seiner Opfer zur Erpressung durch Exfiltration über und drohte damit, die gestohlenen Daten herauszugeben, wenn er nicht bezahlt würde.
Sie verwenden Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle, um wertvolle Ziele in einem Netzwerk zu identifizieren.
BianLian aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen und weitere Angriffe zu ermöglichen.
BianLian verwendet PsExec und RDP mit gültigen Anmeldeinformationen für laterale Bewegungen im Netzwerk.
Führen Sie strenge Kontrollen für Fernzugriffstools ein, deaktivieren Sie unnötige Dienste, setzen Sie strenge Kennwortrichtlinien durch und sorgen Sie für regelmäßige Software-Updates und Patches.
XDR-Lösungen können dabei helfen, indem sie umfassende Transparenz und automatisierte Reaktionsmöglichkeiten bieten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und abzuschwächen.