BianLian
BianLian ist eine Gruppe ( ransomware ), die dafür bekannt ist, kritische Infrastrukturen durch ausgeklügelte Datenexfiltrations- und Erpressungstechniken ins Visier zu nehmen, wobei sie zunächst ein Doppelerpressungsmodell anwandte, bevor sie zur reinen Datenerpressung überging.
Der Ursprung von BianLian
BianLian ist eine ransomware und Datenerpressungsgruppe, die wahrscheinlich von Russland aus operiert und mehrere Zweigstellen in der gleichen Region unterhält. Die Gruppe ist seit Juni 2022 aktiv und nutzte zunächst ein doppeltes Erpressungsmodell, das Datendiebstahl mit Dateiverschlüsselung kombinierte. Seit Januar 2024 ist BianLian jedoch vollständig zu einem reinen Erpressungsmodell übergegangen, bei dem es um Exfiltration geht. Sie konzentrieren sich jetzt ausschließlich auf den Diebstahl von Daten und fordern Zahlungen, um die Veröffentlichung zu verhindern, und verschlüsseln die Systeme der Opfer nicht mehr. Ihr Name, der wahrscheinlich gewählt wurde, um den Standort falsch zuzuordnen, spiegelt ihren Versuch wider, die Zuordnung zu erschweren.
Ziele
BianLian's Ziele
Von BianLian anvisierte Länder
Der Großteil der Angriffe von BianLian konzentriert sich auf die Vereinigten Staaten, auf die 57,8 % der Angriffe entfallen. Weitere wichtige Ziele sind das Vereinigte Königreich (10,2 %), Kanada (6,8 %) und Indien (4,8 %). Darüber hinaus waren auch Länder wie Australien, Schweden, Deutschland und Österreich betroffen, wenn auch in geringerem Ausmaß. Diese Verteilung unterstreicht den Fokus der Gruppe auf Industrienationen mit robusten digitalen Infrastrukturen und großen Mengen an wertvollen Daten.
Quelle: Ransomware.live
Zielbranchen von BianLian
BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.
Quelle: Palo Alto's Einheit 42
Zielbranchen von BianLian
BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.
Quelle: Palo Alto's Einheit 42
Die Opfer von BianLian
BianLian hatte es auf mehr als 522 Opfer abgesehen, darunter mittlere bis große Unternehmen aus den Bereichen Finanzen, Gesundheitswesen und Immobilienentwicklung. Die Methode der Gruppe, kompromittierte RDP-Anmeldeinformationen auszunutzen und sensible Daten zu exfiltrieren, hat den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.
Quelle: Ransomware.live
Angriffsmethode
Die Angriffsmethode von BianLian
BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.
Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.
Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.
BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.
Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.
Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.
Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.
Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.
Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.
Erster Zugang
BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.
Rechte-Eskalation
Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.
Verteidigung Umgehung
Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.
Zugang zu Anmeldeinformationen
BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.
Entdeckung
Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.
Seitliche Bewegung
Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.
Sammlung
Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.
Ausführung
Exfiltration
Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.
Auswirkungen
Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.
MITRE ATT&CK Kartierung
Von BianLian verwendete TTPs
BianLian setzt verschiedene TTPs ein, die mit dem Rahmenwerk MITRE ATT&CK abgestimmt sind. Einige der wichtigsten TTPs sind:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen
Wie man BianLian erkennt mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden:
Häufig gestellte Fragen
Was ist BianLians primäre Methode, um sich Zugang zu verschaffen?
BianLian verschafft sich in erster Linie über kompromittierte RDP-Anmeldeinformationen Zugang, die er häufig über phishing oder von Erstzugriffs-Brokern erhält.
Wie entgeht BianLian der Entdeckung?
Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und ändern die Windows-Registrierung, um eine Erkennung zu vermeiden.
Was sind die Hauptziele von BianLian?
BianLian zielt auf kritische Infrastruktursektoren in den USA und private Unternehmen in Australien ab, einschließlich Sektoren wie Gesundheitswesen, Finanzdienstleistungen und Immobilienentwicklung.
Wie exfiltriert BianLian Daten?
BianLian exfiltriert Daten über FTP, Rclone oder Mega und lädt sensible Dateien auf cloud hoch.
Welche Änderungen hat BianLian im Jahr 2023 an ihren Erpressungstaktiken vorgenommen?
Im Jahr 2023 ging BianLian von der Verschlüsselung der Systeme seiner Opfer zur Erpressung durch Exfiltration über und drohte damit, die gestohlenen Daten herauszugeben, wenn er nicht bezahlt würde.
Welche Tools verwendet BianLian für die Netzwerkerkennung?
Sie verwenden Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle, um wertvolle Ziele in einem Netzwerk zu identifizieren.
Wie eskaliert BianLian die Privilegien innerhalb eines Netzwerks?
BianLian aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen und weitere Angriffe zu ermöglichen.
Welche Methoden verwendet BianLian für die seitliche Bewegung?
BianLian verwendet PsExec und RDP mit gültigen Anmeldeinformationen für laterale Bewegungen im Netzwerk.
Wie können sich Unternehmen gegen BianLians Taktiken schützen?
Führen Sie strenge Kontrollen für Fernzugriffstools ein, deaktivieren Sie unnötige Dienste, setzen Sie strenge Kennwortrichtlinien durch und sorgen Sie für regelmäßige Software-Updates und Patches.
Welche Rolle können XDR-Lösungen bei der Abwehr von BianLian spielen?
XDR-Lösungen können dabei helfen, indem sie umfassende Transparenz und automatisierte Reaktionsmöglichkeiten bieten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und abzuschwächen.