BianLian

BianLian est un groupe de ransomware connu pour cibler les secteurs d'infrastructures critiques par le biais de techniques sophistiquées d'exfiltration et d'extorsion de données, employant initialement un modèle de double extorsion avant de passer à l'extorsion pure et simple de données.

Votre organisation est-elle à l'abri des attaques de BianLian ?

L'origine de BianLian

BianLian est un groupe de ransomware et d'extorsion de données opérant probablement à partir de la Russie, avec plusieurs affiliés basés dans la même région. Le groupe est actif depuis juin 2022 et a d'abord utilisé un modèle d'extorsion double, combinant le vol de données et le cryptage de fichiers. Cependant, depuis janvier 2024, BianLian est passé à un modèle d'extorsion basé uniquement sur l'exfiltration. Il se concentre désormais exclusivement sur le vol de données et exige un paiement pour empêcher leur divulgation, et ne crypte plus les systèmes de ses victimes. Son nom, probablement choisi pour attribuer faussement l'emplacement, reflète sa tentative de compliquer les efforts d'attribution.

Cibles

Les objectifs de BianLian

Pays ciblés par BianLian

La majorité des attaques de BianLian sont concentrées aux États-Unis, qui représentent 57,8 % des attaques. Les autres cibles importantes sont le Royaume-Uni (10,2 %), le Canada (6,8 %) et l'Inde (4,8 %). En outre, des pays comme l'Australie, la Suède, l'Allemagne et l'Autriche ont également été touchés, mais dans une moindre mesure. Cette répartition montre que le groupe se concentre sur les pays développés dotés d'infrastructures numériques robustes et d'une grande quantité de données précieuses.

Source : Ransomware.live

Industries ciblées par BianLian

BianLian a montré une préférence marquée pour certaines industries, le secteur de la santé ayant subi le plus grand nombre d'attaques, suivi par l'industrie manufacturière, les services professionnels et juridiques, la haute technologie et la construction. D'autres cibles notables sont le transport et la logistique, le commerce de gros et de détail, les services financiers et l'éducation. Ce schéma montre que BianLian se concentre sur les secteurs qui traitent des données sensibles et critiques, ce qui en fait des cibles de choix pour l'extorsion et la perturbation.

Source : Unité 42 de Palo Alto

Industries ciblées par BianLian

BianLian a montré une préférence marquée pour certaines industries, le secteur de la santé ayant subi le plus grand nombre d'attaques, suivi par l'industrie manufacturière, les services professionnels et juridiques, la haute technologie et la construction. D'autres cibles notables sont le transport et la logistique, le commerce de gros et de détail, les services financiers et l'éducation. Ce schéma montre que BianLian se concentre sur les secteurs qui traitent des données sensibles et critiques, ce qui en fait des cibles de choix pour l'extorsion et la perturbation.

Source : Unité 42 de Palo Alto

Les victimes de BianLian

BianLian a ciblé plus de 508 victimes , dont des moyennes et grandes entreprises des secteurs de la finance, de la santé et de la promotion immobilière. La méthodologie du groupe, qui consiste à utiliser des identifiants RDP compromis et à exfiltrer des données sensibles, a entraîné d'importants préjudices financiers et de réputation pour les organisations touchées.

Source : Ransomware.live

Méthode d'attaque

La méthode d'attaque de BianLian

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

BianLian accède aux réseaux par le biais d'informations d'identification Remote Desktop Protocol (RDP) compromises, obtenues via phishing ou à partir de courtiers d'accès initiaux. Il exploite également les vulnérabilités des applications publiques telles que les vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Ils exploitent des vulnérabilités telles que CVE-2022-37969 pour élever les privilèges sur les systèmes Windows.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Le groupe désactive les outils antivirus, y compris Windows Defender et Sophos tamper protection, à l'aide de PowerShell et de modifications du registre. Ils utilisent également l'emballage UPX pour obscurcir leur site malware.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Les acteurs de BianLian volent des informations d'identification en vidant la mémoire du service LSASS (Local Security Authority Subsystem Service) et en recherchant des informations d'identification en clair stockées dans des fichiers.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

À l'aide d'outils tels que Advanced Port Scanner et SharpShares, ils énumèrent les services réseau, les dossiers partagés et les comptes de domaine afin de cartographier l'environnement de la cible.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Ils utilisent les connexions RDP, PsExec et Server Message Block (SMB) pour se déplacer latéralement au sein des réseaux.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Les données sensibles sont identifiées, compressées et cryptées avant d'être préparées pour l'exfiltration.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données sont volées par FTP, Rclone ou Mega. Contrairement à leurs opérations précédentes, ils ne cryptent plus les données de endpoint .

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Les opérations de BianLian culminent avec l'extorsion, où ils menacent de divulguer publiquement les données volées, en tirant parti de la peur de la victime quant aux conséquences financières, juridiques et sur sa réputation pour exiger le paiement d'une rançon.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

BianLian accède aux réseaux par le biais d'informations d'identification Remote Desktop Protocol (RDP) compromises, obtenues via phishing ou à partir de courtiers d'accès initiaux. Il exploite également les vulnérabilités des applications publiques telles que les vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Ils exploitent des vulnérabilités telles que CVE-2022-37969 pour élever les privilèges sur les systèmes Windows.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Le groupe désactive les outils antivirus, y compris Windows Defender et Sophos tamper protection, à l'aide de PowerShell et de modifications du registre. Ils utilisent également l'emballage UPX pour obscurcir leur site malware.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Les acteurs de BianLian volent des informations d'identification en vidant la mémoire du service LSASS (Local Security Authority Subsystem Service) et en recherchant des informations d'identification en clair stockées dans des fichiers.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

À l'aide d'outils tels que Advanced Port Scanner et SharpShares, ils énumèrent les services réseau, les dossiers partagés et les comptes de domaine afin de cartographier l'environnement de la cible.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Ils utilisent les connexions RDP, PsExec et Server Message Block (SMB) pour se déplacer latéralement au sein des réseaux.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Les données sensibles sont identifiées, compressées et cryptées avant d'être préparées pour l'exfiltration.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution
Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les données sont volées par FTP, Rclone ou Mega. Contrairement à leurs opérations précédentes, ils ne cryptent plus les données de endpoint .

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Les opérations de BianLian culminent avec l'extorsion, où ils menacent de divulguer publiquement les données volées, en tirant parti de la peur de la victime quant aux conséquences financières, juridiques et sur sa réputation pour exiger le paiement d'une rançon.

MITRE ATT&CK Mapping

TTP utilisées par BianLian

BianLian utilise plusieurs TTP alignés sur le cadre MITRE ATT&CK . Parmi les principaux TTP, on peut citer

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter BianLian avec Vectra AI

Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque de ransomware :

Foire aux questions

Quelle est la principale méthode utilisée par BianLian pour obtenir un accès initial ?

BianLian obtient principalement un accès initial par le biais d'identifiants RDP compromis, souvent obtenus par le biais de phishing ou de courtiers d'accès initiaux.

Comment BianLian échappe-t-il à la détection ?

Ils désactivent les outils antivirus et les fonctions d'autoprotection à l'aide de PowerShell et modifient le registre Windows pour éviter d'être détectés.

Quels sont les principaux objectifs de BianLian ?

BianLian cible les secteurs des infrastructures critiques aux États-Unis et les entreprises privées en Australie, notamment les secteurs de la santé, des services financiers et de la promotion immobilière.

Comment BianLian exfiltre-t-il les données ?

BianLian exfiltre des données par FTP, Rclone ou Mega, en téléchargeant des fichiers sensibles sur les services de stockage cloud .

Quels changements BianLian a-t-il apportés à ses tactiques d'extorsion en 2023 ?

En 2023, BianLian a cessé de crypter les systèmes de ses victimes pour se concentrer sur l'extorsion basée sur l'exfiltration, menaçant de divulguer les données volées s'il n'était pas payé.

Quels sont les outils utilisés par BianLian pour la découverte du réseau ?

Ils utilisent des outils tels que Advanced Port Scanner, SoftPerfect Network Scanner et PingCastle pour identifier des cibles intéressantes au sein d'un réseau.

Comment BianLian escalade-t-il les privilèges au sein d'un réseau ?

BianLian active les comptes d'administrateurs locaux et modifie les mots de passe afin d'élever les privilèges, ce qui facilite l'exploitation ultérieure.

Quelles sont les méthodes utilisées par BianLian pour les déplacements latéraux ?

BianLian utilise PsExec et RDP avec des informations d'identification valides pour se déplacer latéralement sur le réseau.

Comment les organisations peuvent-elles se protéger contre les tactiques de BianLian ?

Mettez en place des contrôles stricts sur les outils d'accès à distance, désactivez les services inutiles, appliquez des politiques de mot de passe strictes et veillez à ce que les logiciels soient régulièrement mis à jour et corrigés.

Quel rôle les solutions XDR peuvent-elles jouer dans la défense contre BianLian ?

Les solutions XDR peuvent aider en fournissant une visibilité complète et des capacités de réponse automatisées, en détectant et en atténuant les activités suspectes sur les terminaux, les réseaux et les environnements cloud .