BianLian
BianLian est un groupe de ransomware connu pour cibler les secteurs d'infrastructures critiques par le biais de techniques sophistiquées d'exfiltration et d'extorsion de données, employant initialement un modèle de double extorsion avant de passer à l'extorsion pure et simple de données.
L'origine de BianLian
BianLian est un groupe cybercriminel qui développe et déploie des ransomwares et pratique l'extorsion de données depuis juin 2022. Au départ, il utilisait un modèle d'extorsion double, chiffrant les systèmes des victimes et exfiltrant les données. Cependant, vers janvier 2023, ils sont passés à l'extorsion basée sur l'exfiltration, où ils volent des données et menacent de les libérer à moins qu'une rançon ne soit payée. Le groupe a ciblé des organisations dans de nombreux secteurs d'infrastructures critiques aux États-Unis et des entreprises privées en Australie.
Cibles
Les objectifs de BianLian
Pays ciblés par BianLian
La majorité des attaques de BianLian sont concentrées aux États-Unis, qui représentent 57,8 % des attaques. Les autres cibles importantes sont le Royaume-Uni (10,2 %), le Canada (6,8 %) et l'Inde (4,8 %). En outre, des pays comme l'Australie, la Suède, l'Allemagne et l'Autriche ont également été touchés, mais dans une moindre mesure. Cette répartition montre que le groupe se concentre sur les pays développés dotés d'infrastructures numériques robustes et d'une grande quantité de données précieuses.
Source : SOCRadar SOCRadar
Industries ciblées par BianLian
BianLian a montré une préférence marquée pour certaines industries, le secteur de la santé ayant subi le plus grand nombre d'attaques, suivi par l'industrie manufacturière, les services professionnels et juridiques, la haute technologie et la construction. D'autres cibles notables sont le transport et la logistique, le commerce de gros et de détail, les services financiers et l'éducation. Ce schéma montre que BianLian se concentre sur les secteurs qui traitent des données sensibles et critiques, ce qui en fait des cibles de choix pour l'extorsion et la perturbation.
Source : Unité 42 de Palo Alto
Industries ciblées par BianLian
BianLian a montré une préférence marquée pour certaines industries, le secteur de la santé ayant subi le plus grand nombre d'attaques, suivi par l'industrie manufacturière, les services professionnels et juridiques, la haute technologie et la construction. D'autres cibles notables sont le transport et la logistique, le commerce de gros et de détail, les services financiers et l'éducation. Ce schéma montre que BianLian se concentre sur les secteurs qui traitent des données sensibles et critiques, ce qui en fait des cibles de choix pour l'extorsion et la perturbation.
Source : Unité 42 de Palo Alto
Les victimes de BianLian
BianLian a ciblé plus de 425 victimes , dont des moyennes et grandes entreprises des secteurs de la finance, de la santé et de la promotion immobilière. La méthode employée par le groupe, qui consiste à utiliser des identifiants RDP compromis et à exfiltrer des données sensibles, a entraîné d'importants préjudices financiers et de réputation pour les organisations touchées.
Source : Ransomware.live
Méthode d'attaque
La méthode d'attaque de BianLian
BianLian obtient un accès initial par le biais d'informations d'identification Remote Desktop Protocol (RDP) compromises, souvent obtenues auprès de courtiers d'accès initiaux ou par le biais de campagnes phishing . Il exploite également les vulnérabilités des services d'accès à distance.
Le groupe active les comptes d'administrateurs locaux et modifie les mots de passe afin d'élever les privilèges, ce qui permet d'exploiter davantage le réseau.
Ils désactivent les outils antivirus et les fonctions de protection contre les manipulations à l'aide de PowerShell et du Windows Command Shell, et modifient le registre pour éviter d'être détectés.
BianLian récupère les informations d'identification dans la mémoire du LSASS (Local Security Authority Subsystem Service) et recherche des informations d'identification non sécurisées sur la machine locale à l'aide de divers outils de ligne de commande.
En utilisant des outils tels que Advanced Port Scanner, SoftPerfect Network Scanner et PingCastle, BianLian effectue une reconnaissance approfondie du réseau et de l'Active Directory afin d'identifier les cibles intéressantes.
Le groupe utilise des outils tels que PsExec et RDP avec des informations d'identification valides pour se déplacer latéralement au sein du réseau, en exploitant des vulnérabilités telles que la vulnérabilité Netlogon (CVE-2020-1472).
BianLian utilise malware pour énumérer le registre et les fichiers, copier les données du presse-papiers afin de recueillir des informations sensibles à des fins d'extorsion.
Ils déploient des portes dérobées personnalisées et utilisent des logiciels d'accès à distance légitimes (par exemple, TeamViewer, Atera Agent) pour maintenir la persistance et le contrôle des systèmes compromis.
Les données sont exfiltrées à l'aide du protocole de transfert de fichiers (FTP), de Rclone ou de Mega, les fichiers sensibles étant téléchargés sur les services de stockage cloud pour servir de levier dans les tentatives d'extorsion.
Le groupe passe à l'extorsion de données en menaçant de divulguer les données exfiltrées à moins qu'une rançon ne soit payée. Ils ont utilisé des tactiques telles que l'impression de notes de rançon sur les imprimantes du réseau et des appels menaçants aux victimes.
Accès Initial
BianLian obtient un accès initial par le biais d'informations d'identification Remote Desktop Protocol (RDP) compromises, souvent obtenues auprès de courtiers d'accès initiaux ou par le biais de campagnes phishing . Il exploite également les vulnérabilités des services d'accès à distance.
Élévation de privilèges
Le groupe active les comptes d'administrateurs locaux et modifie les mots de passe afin d'élever les privilèges, ce qui permet d'exploiter davantage le réseau.
Défense Evasion
Ils désactivent les outils antivirus et les fonctions de protection contre les manipulations à l'aide de PowerShell et du Windows Command Shell, et modifient le registre pour éviter d'être détectés.
Accès aux identifiants
BianLian récupère les informations d'identification dans la mémoire du LSASS (Local Security Authority Subsystem Service) et recherche des informations d'identification non sécurisées sur la machine locale à l'aide de divers outils de ligne de commande.
Découverte
En utilisant des outils tels que Advanced Port Scanner, SoftPerfect Network Scanner et PingCastle, BianLian effectue une reconnaissance approfondie du réseau et de l'Active Directory afin d'identifier les cibles intéressantes.
Mouvement latéral
Le groupe utilise des outils tels que PsExec et RDP avec des informations d'identification valides pour se déplacer latéralement au sein du réseau, en exploitant des vulnérabilités telles que la vulnérabilité Netlogon (CVE-2020-1472).
Collection
BianLian utilise malware pour énumérer le registre et les fichiers, copier les données du presse-papiers afin de recueillir des informations sensibles à des fins d'extorsion.
Exécution
Ils déploient des portes dérobées personnalisées et utilisent des logiciels d'accès à distance légitimes (par exemple, TeamViewer, Atera Agent) pour maintenir la persistance et le contrôle des systèmes compromis.
Exfiltration
Les données sont exfiltrées à l'aide du protocole de transfert de fichiers (FTP), de Rclone ou de Mega, les fichiers sensibles étant téléchargés sur les services de stockage cloud pour servir de levier dans les tentatives d'extorsion.
Impact
Le groupe passe à l'extorsion de données en menaçant de divulguer les données exfiltrées à moins qu'une rançon ne soit payée. Ils ont utilisé des tactiques telles que l'impression de notes de rançon sur les imprimantes du réseau et des appels menaçants aux victimes.
MITRE ATT&CK Mapping
TTP utilisées par BianLian
BianLian utilise plusieurs TTP alignés sur le cadre MITRE ATT&CK . Parmi les principaux TTP, on peut citer
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1069
Permission Groups Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter BianLian avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque de ransomware :
Foire aux questions
Quelle est la principale méthode utilisée par BianLian pour obtenir un accès initial ?
BianLian obtient principalement un accès initial par le biais d'identifiants RDP compromis, souvent obtenus par le biais de phishing ou de courtiers d'accès initiaux.
Comment BianLian échappe-t-il à la détection ?
Ils désactivent les outils antivirus et les fonctions d'autoprotection à l'aide de PowerShell et modifient le registre Windows pour éviter d'être détectés.
Quels sont les principaux objectifs de BianLian ?
BianLian cible les secteurs des infrastructures critiques aux États-Unis et les entreprises privées en Australie, notamment les secteurs de la santé, des services financiers et de la promotion immobilière.
Comment BianLian exfiltre-t-il les données ?
BianLian exfiltre des données par FTP, Rclone ou Mega, en téléchargeant des fichiers sensibles sur les services de stockage cloud .
Quels changements BianLian a-t-il apportés à ses tactiques d'extorsion en 2023 ?
En 2023, BianLian a cessé de crypter les systèmes de ses victimes pour se concentrer sur l'extorsion basée sur l'exfiltration, menaçant de divulguer les données volées s'il n'était pas payé.
Quels sont les outils utilisés par BianLian pour la découverte du réseau ?
Ils utilisent des outils tels que Advanced Port Scanner, SoftPerfect Network Scanner et PingCastle pour identifier des cibles intéressantes au sein d'un réseau.
Comment BianLian escalade-t-il les privilèges au sein d'un réseau ?
BianLian active les comptes d'administrateurs locaux et modifie les mots de passe afin d'élever les privilèges, ce qui facilite l'exploitation ultérieure.
Quelles sont les méthodes utilisées par BianLian pour les déplacements latéraux ?
BianLian utilise PsExec et RDP avec des informations d'identification valides pour se déplacer latéralement sur le réseau.
Comment les organisations peuvent-elles se protéger contre les tactiques de BianLian ?
Mettez en place des contrôles stricts sur les outils d'accès à distance, désactivez les services inutiles, appliquez des politiques de mot de passe strictes et veillez à ce que les logiciels soient régulièrement mis à jour et corrigés.
Quel rôle les solutions XDR peuvent-elles jouer dans la défense contre BianLian ?
Les solutions XDR peuvent aider en fournissant une visibilité complète et des capacités de réponse automatisées, en détectant et en atténuant les activités suspectes sur les terminaux, les réseaux et les environnements cloud .