BianLian

BianLian ist eine Gruppe ( ransomware ), die dafür bekannt ist, kritische Infrastrukturen durch ausgeklügelte Datenexfiltrations- und Erpressungstechniken ins Visier zu nehmen, wobei sie zunächst ein Doppelerpressungsmodell anwandte, bevor sie zur reinen Datenerpressung überging.

Ist Ihr Unternehmen vor den Angriffen von BianLian sicher?

Der Ursprung von BianLian

BianLian ist eine ransomware und Datenerpressungsgruppe, die wahrscheinlich von Russland aus operiert und mehrere Zweigstellen in der gleichen Region unterhält. Die Gruppe ist seit Juni 2022 aktiv und nutzte zunächst ein doppeltes Erpressungsmodell, das Datendiebstahl mit Dateiverschlüsselung kombinierte. Seit Januar 2024 ist BianLian jedoch vollständig zu einem reinen Erpressungsmodell übergegangen, bei dem es um Exfiltration geht. Sie konzentrieren sich jetzt ausschließlich auf den Diebstahl von Daten und fordern Zahlungen, um die Veröffentlichung zu verhindern, und verschlüsseln die Systeme der Opfer nicht mehr. Ihr Name, der wahrscheinlich gewählt wurde, um den Standort falsch zuzuordnen, spiegelt ihren Versuch wider, die Zuordnung zu erschweren.

Ziele

BianLian's Ziele

Von BianLian anvisierte Länder

Der Großteil der Angriffe von BianLian konzentriert sich auf die Vereinigten Staaten, auf die 57,8 % der Angriffe entfallen. Weitere wichtige Ziele sind das Vereinigte Königreich (10,2 %), Kanada (6,8 %) und Indien (4,8 %). Darüber hinaus waren auch Länder wie Australien, Schweden, Deutschland und Österreich betroffen, wenn auch in geringerem Ausmaß. Diese Verteilung unterstreicht den Fokus der Gruppe auf Industrienationen mit robusten digitalen Infrastrukturen und großen Mengen an wertvollen Daten.

Quelle: Ransomware.live

Zielbranchen von BianLian

BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.

Quelle: Palo Alto's Einheit 42

Zielbranchen von BianLian

BianLian hat eine deutliche Vorliebe für bestimmte Branchen gezeigt, wobei der Gesundheitssektor die meisten Angriffe erlebte, gefolgt von der verarbeitenden Industrie, professionellen und juristischen Dienstleistungen, Hochtechnologie und dem Bauwesen. Andere bemerkenswerte Ziele sind Transport und Logistik, Groß- und Einzelhandel, Finanzdienstleistungen und Bildung. Dieses Muster zeigt, dass BianLian sich auf Sektoren konzentriert, die mit sensiblen und kritischen Daten umgehen, was sie zu bevorzugten Zielen für Erpressung und Störung macht.

Quelle: Palo Alto's Einheit 42

Die Opfer von BianLian

BianLian hatte es auf mehr als 508 Opfer abgesehen, darunter mittlere bis große Unternehmen aus den Bereichen Finanzen, Gesundheitswesen und Immobilienentwicklung. Die Methode der Gruppe, kompromittierte RDP-Anmeldeinformationen auszunutzen und sensible Daten zu exfiltrieren, hat den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.

Quelle: Ransomware.live

Angriffsmethode

Die Angriffsmethode von BianLian

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

BianLian verschafft sich Zugang zu Netzwerken über kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol), die er über phishing oder von anfänglichen Zugangs-Brokern erhält. Außerdem nutzen sie Schwachstellen in öffentlich zugänglichen Anwendungen wie die ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) aus.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Sie nutzen Schwachstellen wie CVE-2022-37969 aus, um die Rechte auf Windows-Systemen zu erweitern.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Die Gruppe deaktiviert Antiviren-Tools, einschließlich Windows Defender und Sophos Manipulationsschutz, mithilfe von PowerShell und Registrierungsänderungen. Sie verwenden auch UPX-Packing, um ihre malware zu verschleiern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

BianLian-Akteure stehlen Anmeldedaten, indem sie den Speicher des Local Security Authority Subsystem Service (LSASS) leeren und nach in Dateien gespeicherten Klartext-Anmeldedaten suchen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Mithilfe von Tools wie Advanced Port Scanner und SharpShares zählen sie Netzwerkdienste, gemeinsam genutzte Ordner und Domänenkonten auf, um die Umgebung des Ziels abzubilden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Sie verwenden RDP-, PsExec- und Server Message Block (SMB)-Verbindungen, um sich innerhalb von Netzwerken zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Sensible Daten werden identifiziert, komprimiert und verschlüsselt, bevor sie für die Exfiltration bereitgestellt werden.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung
Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die Daten werden über FTP, Rclone oder Mega gestohlen. Anders als bei ihren früheren Operationen verschlüsseln sie die Daten von endpoint nicht mehr.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die Operationen von BianLian gipfeln in Erpressungen, bei denen sie damit drohen, gestohlene Daten öffentlich zu machen und die Angst der Opfer vor rufschädigenden, finanziellen und rechtlichen Konsequenzen auszunutzen, um Lösegeldzahlungen zu fordern.

MITRE ATT&CK Kartierung

Von BianLian verwendete TTPs

BianLian setzt verschiedene TTPs ein, die mit dem Rahmenwerk MITRE ATT&CK abgestimmt sind. Einige der wichtigsten TTPs sind:

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen

Wie man BianLian erkennt mit Vectra AI

Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden:

Häufig gestellte Fragen

Was ist BianLians primäre Methode, um sich Zugang zu verschaffen?

BianLian verschafft sich in erster Linie über kompromittierte RDP-Anmeldeinformationen Zugang, die er häufig über phishing oder von Erstzugriffs-Brokern erhält.

Wie entgeht BianLian der Entdeckung?

Sie deaktivieren Antivirentools und Manipulationsschutzfunktionen mithilfe von PowerShell und ändern die Windows-Registrierung, um eine Erkennung zu vermeiden.

Was sind die Hauptziele von BianLian?

BianLian zielt auf kritische Infrastruktursektoren in den USA und private Unternehmen in Australien ab, einschließlich Sektoren wie Gesundheitswesen, Finanzdienstleistungen und Immobilienentwicklung.

Wie exfiltriert BianLian Daten?

BianLian exfiltriert Daten über FTP, Rclone oder Mega und lädt sensible Dateien auf cloud hoch.

Welche Änderungen hat BianLian im Jahr 2023 an ihren Erpressungstaktiken vorgenommen?

Im Jahr 2023 ging BianLian von der Verschlüsselung der Systeme seiner Opfer zur Erpressung durch Exfiltration über und drohte damit, die gestohlenen Daten herauszugeben, wenn er nicht bezahlt würde.

Welche Tools verwendet BianLian für die Netzwerkerkennung?

Sie verwenden Tools wie Advanced Port Scanner, SoftPerfect Network Scanner und PingCastle, um wertvolle Ziele in einem Netzwerk zu identifizieren.

Wie eskaliert BianLian die Privilegien innerhalb eines Netzwerks?

BianLian aktiviert lokale Administratorkonten und ändert Passwörter, um die Privilegien zu erhöhen und weitere Angriffe zu ermöglichen.

Welche Methoden verwendet BianLian für die seitliche Bewegung?

BianLian verwendet PsExec und RDP mit gültigen Anmeldeinformationen für laterale Bewegungen im Netzwerk.

Wie können sich Unternehmen gegen BianLians Taktiken schützen?

Führen Sie strenge Kontrollen für Fernzugriffstools ein, deaktivieren Sie unnötige Dienste, setzen Sie strenge Kennwortrichtlinien durch und sorgen Sie für regelmäßige Software-Updates und Patches.

Welche Rolle können XDR-Lösungen bei der Abwehr von BianLian spielen?

XDR-Lösungen können dabei helfen, indem sie umfassende Transparenz und automatisierte Reaktionsmöglichkeiten bieten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und abzuschwächen.