¿Está su organización a salvo de los ataques de BianLian?

El origen de BianLian

BianLian es un grupo de ciberdelincuentes dedicado al desarrollo, despliegue y extorsión de datos que lleva activo desde junio de 2022. Al principio, empleaban un modelo de doble extorsión, cifrando los sistemas de las víctimas y extrayendo datos. Sin embargo, alrededor de enero de 2023, cambiaron a la extorsión basada principalmente en la filtración, donde roban datos y amenazan con liberarlos a menos que se pague un rescate. El grupo ha atacado a organizaciones de varios sectores de infraestructuras críticas de Estados Unidos y a empresas privadas de Australia.

Objetivos

Objetivos de BianLian

Países objetivo de BianLian

La mayoría de los ataques de BianLian se concentran en Estados Unidos, que representa el 57,8% de los ataques. Otros objetivos importantes son el Reino Unido (10,2%), Canadá (6,8%) e India (4,8%). Además, países como Australia, Suecia, Alemania y Austria también se han visto afectados, aunque en menor medida. Esta distribución subraya el interés del grupo por las naciones desarrolladas con infraestructuras digitales sólidas y cantidades significativas de datos valiosos.

^Fuente:^SOCRadar

Industrias objetivo de BianLian

BianLian ha mostrado una marcada preferencia por determinadas industrias, siendo el sector sanitario el que experimenta el mayor número de ataques, seguido del manufacturero, los servicios profesionales y jurídicos, la alta tecnología y la construcción. Otros objetivos destacados son el transporte y la logística, el comercio mayorista y minorista, los servicios financieros y la educación. Este patrón pone de relieve que BianLian se centra en sectores que manejan datos sensibles y críticos, lo que los convierte en objetivos principales para la extorsión y la interrupción.

^Fuente:^{Unidad 42 de Palo Alto}

Industrias objetivo de BianLian

BianLian ha mostrado una marcada preferencia por determinadas industrias, siendo el sector sanitario el que experimenta el mayor número de ataques, seguido del manufacturero, los servicios profesionales y jurídicos, la alta tecnología y la construcción. Otros objetivos destacados son el transporte y la logística, el comercio mayorista y minorista, los servicios financieros y la educación. Este patrón pone de relieve que BianLian se centra en sectores que manejan datos sensibles y críticos, lo que los convierte en objetivos principales para la extorsión y la interrupción.

^Fuente:^{Unidad 42 de Palo Alto}

Las víctimas de BianLian

BianLian atacó a más de 425 víctimas , entre ellas medianas y grandes empresas de los sectores financiero, sanitario y de promoción inmobiliaria. La metodología del grupo, consistente en aprovechar credenciales RDP comprometidas y filtrar datos confidenciales, ha provocado importantes daños financieros y de reputación a las organizaciones afectadas.

^Fuente:^{Ransomware.live}

Método de ataque

El método de ataque de BianLian

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

BianLian obtiene el acceso inicial a través de credenciales comprometidas del Protocolo de Escritorio Remoto (RDP), a menudo obtenidas de intermediarios de acceso inicial o a través de campañas en phishing . También aprovechan las vulnerabilidades de los servicios de acceso remoto.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

El grupo activa cuentas de administrador local y cambia las contraseñas para elevar los privilegios, lo que permite una mayor explotación de la red.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y Windows Command Shell, modificando el registro para evitar su detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

BianLian recolecta credenciales de la memoria del Local Security Authority Subsystem Service (LSASS) y busca credenciales no seguras en la máquina local utilizando varias herramientas de línea de comandos.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Utilizando herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle, BianLian lleva a cabo un reconocimiento exhaustivo de la red y del directorio activo para identificar objetivos valiosos.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

El grupo utiliza herramientas como PsExec y RDP con credenciales válidas para moverse lateralmente dentro de la red, explotando vulnerabilidades como la de Netlogon (CVE-2020-1472).

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

BianLian utiliza malware para enumerar el registro y los archivos, copiando los datos del portapapeles para recopilar información sensible para la extorsión.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Despliegan puertas traseras personalizadas y utilizan software de acceso remoto legítimo (por ejemplo, TeamViewer, Atera Agent) para mantener la persistencia y el control sobre los sistemas comprometidos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos se filtran mediante el protocolo de transferencia de archivos (FTP), Rclone o Mega, y los archivos confidenciales se suben a los servicios de almacenamiento de cloud para aprovecharlos en los intentos de extorsión.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El grupo recurre a la extorsión de datos amenazando con liberar los datos filtrados a menos que se pague un rescate. Han utilizado tácticas como imprimir notas de rescate en impresoras de red y realizar llamadas amenazadoras a las víctimas.

Acceso inicial

BianLian obtiene el acceso inicial a través de credenciales comprometidas del Protocolo de Escritorio Remoto (RDP), a menudo obtenidas de intermediarios de acceso inicial o a través de campañas en phishing . También aprovechan las vulnerabilidades de los servicios de acceso remoto.

Escalada de privilegios

El grupo activa cuentas de administrador local y cambia las contraseñas para elevar los privilegios, lo que permite una mayor explotación de la red.

Defensa Evasión

Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y Windows Command Shell, modificando el registro para evitar su detección.

Acceso con credenciales

BianLian recolecta credenciales de la memoria del Local Security Authority Subsystem Service (LSASS) y busca credenciales no seguras en la máquina local utilizando varias herramientas de línea de comandos.

Descubrimiento

Utilizando herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle, BianLian lleva a cabo un reconocimiento exhaustivo de la red y del directorio activo para identificar objetivos valiosos.

Movimiento lateral

El grupo utiliza herramientas como PsExec y RDP con credenciales válidas para moverse lateralmente dentro de la red, explotando vulnerabilidades como la de Netlogon (CVE-2020-1472).

Colección

BianLian utiliza malware para enumerar el registro y los archivos, copiando los datos del portapapeles para recopilar información sensible para la extorsión.

Ejecución

Despliegan puertas traseras personalizadas y utilizan software de acceso remoto legítimo (por ejemplo, TeamViewer, Atera Agent) para mantener la persistencia y el control sobre los sistemas comprometidos.

Exfiltración

Los datos se filtran mediante el protocolo de transferencia de archivos (FTP), Rclone o Mega, y los archivos confidenciales se suben a los servicios de almacenamiento de cloud para aprovecharlos en los intentos de extorsión.

Impacto

El grupo recurre a la extorsión de datos amenazando con liberar los datos filtrados a menos que se pague un rescate. Han utilizado tácticas como imprimir notas de rescate en impresoras de red y realizar llamadas amenazadoras a las víctimas.

MITRE ATT&CK Cartografía

TTPs utilizados por BianLian

BianLian emplea varias TTP alineadas con el marco MITRE ATT&CK . Algunas de las principales son:

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1136

Create Account

T1098

Account Manipulation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1112

Modify Registry

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1552

Unsecured Credentials

T1003

OS Credential Dumping

TA0007: Discovery

T1482

Domain Trust Discovery

T1135

Network Share Discovery

T1087

Account Discovery

T1083

File and Directory Discovery

T1069

Permission Groups Discovery

T1046

Network Service Discovery

T1033

System Owner/User Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1219

Remote Access Software

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1537

Transfer Data to Cloud Account

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar BianLian con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Cuál es el principal método de BianLian para obtener acceso inicial?

BianLian obtiene el acceso inicial principalmente a través de credenciales RDP comprometidas, a menudo obtenidas a través de phishing o de intermediarios de acceso inicial.

¿Cómo consigue BianLian eludir la detección?

Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y modifican el Registro de Windows para evitar su detección.

¿Cuáles son los principales objetivos de BianLian?

BianLian se dirige a sectores de infraestructuras críticas en Estados Unidos y a empresas privadas en Australia, incluidos sectores como la sanidad, los servicios financieros y la promoción inmobiliaria.

¿Cómo exfiltra datos BianLian?

BianLian exfiltra datos utilizando FTP, Rclone o Mega, subiendo archivos sensibles a los servicios de almacenamiento cloud .

¿Qué cambios introdujo BianLian en sus tácticas de extorsión en 2023?

En 2023, BianLian pasó de cifrar los sistemas de las víctimas a centrarse en la extorsión basada en la filtración, amenazando con divulgar los datos robados a menos que se le pagara.

¿Qué herramientas utiliza BianLian para el descubrimiento de redes?

Utilizan herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle para identificar objetivos valiosos dentro de una red.

¿Cómo escala BianLian privilegios dentro de una red?

BianLian activa las cuentas de administrador local y cambia las contraseñas para elevar los privilegios, facilitando la explotación posterior.

¿Qué métodos utiliza BianLian para el movimiento lateral?

BianLian utiliza PsExec y RDP con credenciales válidas para el movimiento lateral a través de la red.

¿Cómo pueden protegerse las organizaciones contra las tácticas de BianLian?

Aplique controles estrictos a las herramientas de acceso remoto, desactive los servicios innecesarios, aplique políticas estrictas de contraseñas y garantice actualizaciones y parches periódicos del software.

¿Qué papel pueden desempeñar las soluciones XDR en la defensa contra BianLian?

Las soluciones XDR pueden ayudar proporcionando una visibilidad completa y capacidades de respuesta automatizadas, detectando y mitigando actividades sospechosas en puntos finales, redes y entornos cloud .

¿Está su organización a salvo de los ataques de BianLian?

Evalúe su exposición a los ataques