BianLian es un grupo de ransomware conocido por dirigirse a sectores de infraestructuras críticas mediante sofisticadas técnicas de extorsión y exfiltración de datos, empleando inicialmente un modelo de doble extorsión antes de pasar a la extorsión pura de datos.
BianLian es un grupo de ciberdelincuentes dedicado al desarrollo, despliegue y extorsión de datos que lleva activo desde junio de 2022. Al principio, empleaban un modelo de doble extorsión, cifrando los sistemas de las víctimas y extrayendo datos. Sin embargo, alrededor de enero de 2023, cambiaron a la extorsión basada principalmente en la filtración, donde roban datos y amenazan con liberarlos a menos que se pague un rescate. El grupo ha atacado a organizaciones de varios sectores de infraestructuras críticas de Estados Unidos y a empresas privadas de Australia.
La mayoría de los ataques de BianLian se concentran en Estados Unidos, que representa el 57,8% de los ataques. Otros objetivos importantes son el Reino Unido (10,2%), Canadá (6,8%) e India (4,8%). Además, países como Australia, Suecia, Alemania y Austria también se han visto afectados, aunque en menor medida. Esta distribución subraya el interés del grupo por las naciones desarrolladas con infraestructuras digitales sólidas y cantidades significativas de datos valiosos.
Fuente: SOCRadar
BianLian ha mostrado una marcada preferencia por determinadas industrias, siendo el sector sanitario el que experimenta el mayor número de ataques, seguido del manufacturero, los servicios profesionales y jurídicos, la alta tecnología y la construcción. Otros objetivos destacados son el transporte y la logística, el comercio mayorista y minorista, los servicios financieros y la educación. Este patrón pone de relieve que BianLian se centra en sectores que manejan datos sensibles y críticos, lo que los convierte en objetivos principales para la extorsión y la interrupción.
Fuente: Unidad 42 de Palo Alto
BianLian ha mostrado una marcada preferencia por determinadas industrias, siendo el sector sanitario el que experimenta el mayor número de ataques, seguido del manufacturero, los servicios profesionales y jurídicos, la alta tecnología y la construcción. Otros objetivos destacados son el transporte y la logística, el comercio mayorista y minorista, los servicios financieros y la educación. Este patrón pone de relieve que BianLian se centra en sectores que manejan datos sensibles y críticos, lo que los convierte en objetivos principales para la extorsión y la interrupción.
Fuente: Unidad 42 de Palo Alto
BianLian atacó a más de 425 víctimas , entre ellas medianas y grandes empresas de los sectores financiero, sanitario y de promoción inmobiliaria. La metodología del grupo, consistente en aprovechar credenciales RDP comprometidas y filtrar datos confidenciales, ha provocado importantes daños financieros y de reputación a las organizaciones afectadas.
Fuente: Ransomware.live
BianLian obtiene el acceso inicial a través de credenciales comprometidas del Protocolo de Escritorio Remoto (RDP), a menudo obtenidas de intermediarios de acceso inicial o a través de campañas en phishing . También aprovechan las vulnerabilidades de los servicios de acceso remoto.
El grupo activa cuentas de administrador local y cambia las contraseñas para elevar los privilegios, lo que permite una mayor explotación de la red.
Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y Windows Command Shell, modificando el registro para evitar su detección.
BianLian recolecta credenciales de la memoria del Local Security Authority Subsystem Service (LSASS) y busca credenciales no seguras en la máquina local utilizando varias herramientas de línea de comandos.
Utilizando herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle, BianLian lleva a cabo un reconocimiento exhaustivo de la red y del directorio activo para identificar objetivos valiosos.
El grupo utiliza herramientas como PsExec y RDP con credenciales válidas para moverse lateralmente dentro de la red, explotando vulnerabilidades como la de Netlogon (CVE-2020-1472).
BianLian utiliza malware para enumerar el registro y los archivos, copiando los datos del portapapeles para recopilar información sensible para la extorsión.
Despliegan puertas traseras personalizadas y utilizan software de acceso remoto legítimo (por ejemplo, TeamViewer, Atera Agent) para mantener la persistencia y el control sobre los sistemas comprometidos.
Los datos se filtran mediante el protocolo de transferencia de archivos (FTP), Rclone o Mega, y los archivos confidenciales se suben a los servicios de almacenamiento de cloud para aprovecharlos en los intentos de extorsión.
El grupo recurre a la extorsión de datos amenazando con liberar los datos filtrados a menos que se pague un rescate. Han utilizado tácticas como imprimir notas de rescate en impresoras de red y realizar llamadas amenazadoras a las víctimas.
BianLian obtiene el acceso inicial a través de credenciales comprometidas del Protocolo de Escritorio Remoto (RDP), a menudo obtenidas de intermediarios de acceso inicial o a través de campañas en phishing . También aprovechan las vulnerabilidades de los servicios de acceso remoto.
El grupo activa cuentas de administrador local y cambia las contraseñas para elevar los privilegios, lo que permite una mayor explotación de la red.
Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y Windows Command Shell, modificando el registro para evitar su detección.
BianLian recolecta credenciales de la memoria del Local Security Authority Subsystem Service (LSASS) y busca credenciales no seguras en la máquina local utilizando varias herramientas de línea de comandos.
Utilizando herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle, BianLian lleva a cabo un reconocimiento exhaustivo de la red y del directorio activo para identificar objetivos valiosos.
El grupo utiliza herramientas como PsExec y RDP con credenciales válidas para moverse lateralmente dentro de la red, explotando vulnerabilidades como la de Netlogon (CVE-2020-1472).
BianLian utiliza malware para enumerar el registro y los archivos, copiando los datos del portapapeles para recopilar información sensible para la extorsión.
Despliegan puertas traseras personalizadas y utilizan software de acceso remoto legítimo (por ejemplo, TeamViewer, Atera Agent) para mantener la persistencia y el control sobre los sistemas comprometidos.
Los datos se filtran mediante el protocolo de transferencia de archivos (FTP), Rclone o Mega, y los archivos confidenciales se suben a los servicios de almacenamiento de cloud para aprovecharlos en los intentos de extorsión.
El grupo recurre a la extorsión de datos amenazando con liberar los datos filtrados a menos que se pague un rescate. Han utilizado tácticas como imprimir notas de rescate en impresoras de red y realizar llamadas amenazadoras a las víctimas.
BianLian emplea varias TTP alineadas con el marco MITRE ATT&CK . Algunas de las principales son:
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware:
BianLian obtiene el acceso inicial principalmente a través de credenciales RDP comprometidas, a menudo obtenidas a través de phishing o de intermediarios de acceso inicial.
Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y modifican el Registro de Windows para evitar su detección.
BianLian se dirige a sectores de infraestructuras críticas en Estados Unidos y a empresas privadas en Australia, incluidos sectores como la sanidad, los servicios financieros y la promoción inmobiliaria.
BianLian exfiltra datos utilizando FTP, Rclone o Mega, subiendo archivos sensibles a los servicios de almacenamiento cloud .
En 2023, BianLian pasó de cifrar los sistemas de las víctimas a centrarse en la extorsión basada en la filtración, amenazando con divulgar los datos robados a menos que se le pagara.
Utilizan herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle para identificar objetivos valiosos dentro de una red.
BianLian activa las cuentas de administrador local y cambia las contraseñas para elevar los privilegios, facilitando la explotación posterior.
BianLian utiliza PsExec y RDP con credenciales válidas para el movimiento lateral a través de la red.
Aplique controles estrictos a las herramientas de acceso remoto, desactive los servicios innecesarios, aplique políticas estrictas de contraseñas y garantice actualizaciones y parches periódicos del software.
Las soluciones XDR pueden ayudar proporcionando una visibilidad completa y capacidades de respuesta automatizadas, detectando y mitigando actividades sospechosas en puntos finales, redes y entornos cloud .