BianLian est un groupe de ransomware connu pour cibler les secteurs d'infrastructures critiques par le biais de techniques sophistiquées d'exfiltration et d'extorsion de données, employant initialement un modèle de double extorsion avant de passer à l'extorsion pure et simple de données.
BianLian est un groupe de ransomware et d'extorsion de données opérant probablement à partir de la Russie, avec plusieurs affiliés basés dans la même région. Le groupe est actif depuis juin 2022 et a d'abord utilisé un modèle d'extorsion double, combinant le vol de données et le cryptage de fichiers. Cependant, depuis janvier 2024, BianLian est passé à un modèle d'extorsion basé uniquement sur l'exfiltration. Il se concentre désormais exclusivement sur le vol de données et exige un paiement pour empêcher leur divulgation, et ne crypte plus les systèmes de ses victimes. Son nom, probablement choisi pour attribuer faussement l'emplacement, reflète sa tentative de compliquer les efforts d'attribution.
La majorité des attaques de BianLian sont concentrées aux États-Unis, qui représentent 57,8 % des attaques. Les autres cibles importantes sont le Royaume-Uni (10,2 %), le Canada (6,8 %) et l'Inde (4,8 %). En outre, des pays comme l'Australie, la Suède, l'Allemagne et l'Autriche ont également été touchés, mais dans une moindre mesure. Cette répartition montre que le groupe se concentre sur les pays développés dotés d'infrastructures numériques robustes et d'une grande quantité de données précieuses.
Source : Ransomware.live
BianLian a montré une préférence marquée pour certaines industries, le secteur de la santé ayant subi le plus grand nombre d'attaques, suivi par l'industrie manufacturière, les services professionnels et juridiques, la haute technologie et la construction. D'autres cibles notables sont le transport et la logistique, le commerce de gros et de détail, les services financiers et l'éducation. Ce schéma montre que BianLian se concentre sur les secteurs qui traitent des données sensibles et critiques, ce qui en fait des cibles de choix pour l'extorsion et la perturbation.
Source : Unité 42 de Palo Alto
BianLian a montré une préférence marquée pour certaines industries, le secteur de la santé ayant subi le plus grand nombre d'attaques, suivi par l'industrie manufacturière, les services professionnels et juridiques, la haute technologie et la construction. D'autres cibles notables sont le transport et la logistique, le commerce de gros et de détail, les services financiers et l'éducation. Ce schéma montre que BianLian se concentre sur les secteurs qui traitent des données sensibles et critiques, ce qui en fait des cibles de choix pour l'extorsion et la perturbation.
Source : Unité 42 de Palo Alto
BianLian a ciblé plus de 508 victimes , dont des moyennes et grandes entreprises des secteurs de la finance, de la santé et de la promotion immobilière. La méthodologie du groupe, qui consiste à utiliser des identifiants RDP compromis et à exfiltrer des données sensibles, a entraîné d'importants préjudices financiers et de réputation pour les organisations touchées.
Source : Ransomware.live
BianLian accède aux réseaux par le biais d'informations d'identification Remote Desktop Protocol (RDP) compromises, obtenues via phishing ou à partir de courtiers d'accès initiaux. Il exploite également les vulnérabilités des applications publiques telles que les vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Ils exploitent des vulnérabilités telles que CVE-2022-37969 pour élever les privilèges sur les systèmes Windows.
Le groupe désactive les outils antivirus, y compris Windows Defender et Sophos tamper protection, à l'aide de PowerShell et de modifications du registre. Ils utilisent également l'emballage UPX pour obscurcir leur site malware.
Les acteurs de BianLian volent des informations d'identification en vidant la mémoire du service LSASS (Local Security Authority Subsystem Service) et en recherchant des informations d'identification en clair stockées dans des fichiers.
À l'aide d'outils tels que Advanced Port Scanner et SharpShares, ils énumèrent les services réseau, les dossiers partagés et les comptes de domaine afin de cartographier l'environnement de la cible.
Ils utilisent les connexions RDP, PsExec et Server Message Block (SMB) pour se déplacer latéralement au sein des réseaux.
Les données sensibles sont identifiées, compressées et cryptées avant d'être préparées pour l'exfiltration.
Les données sont volées par FTP, Rclone ou Mega. Contrairement à leurs opérations précédentes, ils ne cryptent plus les données de endpoint .
Les opérations de BianLian culminent avec l'extorsion, où ils menacent de divulguer publiquement les données volées, en tirant parti de la peur de la victime quant aux conséquences financières, juridiques et sur sa réputation pour exiger le paiement d'une rançon.
BianLian accède aux réseaux par le biais d'informations d'identification Remote Desktop Protocol (RDP) compromises, obtenues via phishing ou à partir de courtiers d'accès initiaux. Il exploite également les vulnérabilités des applications publiques telles que les vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Ils exploitent des vulnérabilités telles que CVE-2022-37969 pour élever les privilèges sur les systèmes Windows.
Le groupe désactive les outils antivirus, y compris Windows Defender et Sophos tamper protection, à l'aide de PowerShell et de modifications du registre. Ils utilisent également l'emballage UPX pour obscurcir leur site malware.
Les acteurs de BianLian volent des informations d'identification en vidant la mémoire du service LSASS (Local Security Authority Subsystem Service) et en recherchant des informations d'identification en clair stockées dans des fichiers.
À l'aide d'outils tels que Advanced Port Scanner et SharpShares, ils énumèrent les services réseau, les dossiers partagés et les comptes de domaine afin de cartographier l'environnement de la cible.
Ils utilisent les connexions RDP, PsExec et Server Message Block (SMB) pour se déplacer latéralement au sein des réseaux.
Les données sensibles sont identifiées, compressées et cryptées avant d'être préparées pour l'exfiltration.
Les données sont volées par FTP, Rclone ou Mega. Contrairement à leurs opérations précédentes, ils ne cryptent plus les données de endpoint .
Les opérations de BianLian culminent avec l'extorsion, où ils menacent de divulguer publiquement les données volées, en tirant parti de la peur de la victime quant aux conséquences financières, juridiques et sur sa réputation pour exiger le paiement d'une rançon.
BianLian utilise plusieurs TTP alignés sur le cadre MITRE ATT&CK . Parmi les principaux TTP, on peut citer
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque de ransomware :
BianLian obtient principalement un accès initial par le biais d'identifiants RDP compromis, souvent obtenus par le biais de phishing ou de courtiers d'accès initiaux.
Ils désactivent les outils antivirus et les fonctions d'autoprotection à l'aide de PowerShell et modifient le registre Windows pour éviter d'être détectés.
BianLian cible les secteurs des infrastructures critiques aux États-Unis et les entreprises privées en Australie, notamment les secteurs de la santé, des services financiers et de la promotion immobilière.
BianLian exfiltre des données par FTP, Rclone ou Mega, en téléchargeant des fichiers sensibles sur les services de stockage cloud .
En 2023, BianLian a cessé de crypter les systèmes de ses victimes pour se concentrer sur l'extorsion basée sur l'exfiltration, menaçant de divulguer les données volées s'il n'était pas payé.
Ils utilisent des outils tels que Advanced Port Scanner, SoftPerfect Network Scanner et PingCastle pour identifier des cibles intéressantes au sein d'un réseau.
BianLian active les comptes d'administrateurs locaux et modifie les mots de passe afin d'élever les privilèges, ce qui facilite l'exploitation ultérieure.
BianLian utilise PsExec et RDP avec des informations d'identification valides pour se déplacer latéralement sur le réseau.
Mettez en place des contrôles stricts sur les outils d'accès à distance, désactivez les services inutiles, appliquez des politiques de mot de passe strictes et veillez à ce que les logiciels soient régulièrement mis à jour et corrigés.
Les solutions XDR peuvent aider en fournissant une visibilité complète et des capacités de réponse automatisées, en détectant et en atténuant les activités suspectes sur les terminaux, les réseaux et les environnements cloud .