¿Está su organización a salvo de los ataques de BianLian?

El origen de BianLian

BianLian es un grupo de ransomware y extorsión de datos que probablemente opera desde Rusia, con múltiples afiliados ubicados en la misma región. El grupo lleva activo desde junio de 2022 e inicialmente utilizaba un modelo de doble extorsión, que combinaba el robo de datos con el cifrado de archivos. Sin embargo, desde enero de 2024, BianLian ha cambiado completamente a un modelo de extorsión basado únicamente en la filtración. Ahora se centran exclusivamente en robar datos y exigir un pago para evitar su divulgación pública, y ya no cifran los sistemas de las víctimas. Su nombre, probablemente elegido para confundir la ubicación, refleja su intento de complicar los esfuerzos de atribución.

Objetivos

Objetivos de BianLian

Países objetivo de BianLian

La mayoría de los ataques de BianLian se concentran en Estados Unidos, que representa el 57,8% de los ataques. Otros objetivos importantes son el Reino Unido (10,2%), Canadá (6,8%) e India (4,8%). Además, países como Australia, Suecia, Alemania y Austria también se han visto afectados, aunque en menor medida. Esta distribución subraya el interés del grupo por las naciones desarrolladas con infraestructuras digitales sólidas y cantidades significativas de datos valiosos.

^Fuente:^{Ransomware.live}

Industrias objetivo de BianLian

BianLian ha mostrado una marcada preferencia por determinadas industrias, siendo el sector sanitario el que experimenta el mayor número de ataques, seguido del manufacturero, los servicios profesionales y jurídicos, la alta tecnología y la construcción. Otros objetivos destacados son el transporte y la logística, el comercio mayorista y minorista, los servicios financieros y la educación. Este patrón pone de relieve que BianLian se centra en sectores que manejan datos sensibles y críticos, lo que los convierte en objetivos principales para la extorsión y la interrupción.

^Fuente:^{Unidad 42 de Palo Alto}

Industrias objetivo de BianLian

BianLian ha mostrado una marcada preferencia por determinadas industrias, siendo el sector sanitario el que experimenta el mayor número de ataques, seguido del manufacturero, los servicios profesionales y jurídicos, la alta tecnología y la construcción. Otros objetivos destacados son el transporte y la logística, el comercio mayorista y minorista, los servicios financieros y la educación. Este patrón pone de relieve que BianLian se centra en sectores que manejan datos sensibles y críticos, lo que los convierte en objetivos principales para la extorsión y la interrupción.

^Fuente:^{Unidad 42 de Palo Alto}

Las víctimas de BianLian

BianLian atacó a más de 508 víctimas , entre ellas medianas y grandes empresas de los sectores financiero, sanitario y de promoción inmobiliaria. La metodología del grupo, consistente en aprovechar credenciales RDP comprometidas y filtrar datos confidenciales, ha provocado importantes daños financieros y de reputación a las organizaciones afectadas.

^Fuente:^{Ransomware.live}

Método de ataque

El método de ataque de BianLian

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

BianLian obtiene acceso a las redes a través de credenciales comprometidas del Protocolo de Escritorio Remoto (RDP), obtenidas a través de phishing o de intermediarios de acceso inicial. También aprovechan vulnerabilidades en aplicaciones de cara al público, como las vulnerabilidades de ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Aprovechan vulnerabilidades como CVE-2022-37969 para escalar privilegios en sistemas Windows.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

El grupo desactiva herramientas antivirus, incluidas las protecciones contra manipulaciones de Windows Defender y Sophos, mediante PowerShell y modificaciones del registro. También emplean el empaquetado UPX para ofuscar su malware.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Los ciberdelincuentes roban credenciales volcando la memoria del servicio LSASS (Local Security Authority Subsystem Service) y buscando credenciales en texto plano almacenadas en archivos.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Utilizando herramientas como Advanced Port Scanner y SharpShares, enumeran los servicios de red, las carpetas compartidas y las cuentas de dominio para mapear el entorno del objetivo.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Utilizan conexiones RDP, PsExec y Server Message Block (SMB) para el movimiento lateral dentro de las redes.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Los datos confidenciales se identifican, comprimen y cifran antes de su puesta en escena para la exfiltración.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos se roban mediante FTP, Rclone o Mega. A diferencia de sus operaciones anteriores, ya no cifran los datos de los extremos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Las operaciones de BianLian culminan con la extorsión, en la que amenazan con filtrar públicamente los datos robados, aprovechando el miedo de la víctima a las consecuencias reputacionales, financieras y legales para exigir el pago de rescates.

Acceso inicial

BianLian obtiene acceso a las redes a través de credenciales comprometidas del Protocolo de Escritorio Remoto (RDP), obtenidas a través de phishing o de intermediarios de acceso inicial. También aprovechan vulnerabilidades en aplicaciones de cara al público, como las vulnerabilidades de ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Escalada de privilegios

Aprovechan vulnerabilidades como CVE-2022-37969 para escalar privilegios en sistemas Windows.

Defensa Evasión

El grupo desactiva herramientas antivirus, incluidas las protecciones contra manipulaciones de Windows Defender y Sophos, mediante PowerShell y modificaciones del registro. También emplean el empaquetado UPX para ofuscar su malware.

Acceso con credenciales

Los ciberdelincuentes roban credenciales volcando la memoria del servicio LSASS (Local Security Authority Subsystem Service) y buscando credenciales en texto plano almacenadas en archivos.

Descubrimiento

Utilizando herramientas como Advanced Port Scanner y SharpShares, enumeran los servicios de red, las carpetas compartidas y las cuentas de dominio para mapear el entorno del objetivo.

Movimiento lateral

Utilizan conexiones RDP, PsExec y Server Message Block (SMB) para el movimiento lateral dentro de las redes.

Colección

Los datos confidenciales se identifican, comprimen y cifran antes de su puesta en escena para la exfiltración.

Ejecución

Exfiltración

Los datos se roban mediante FTP, Rclone o Mega. A diferencia de sus operaciones anteriores, ya no cifran los datos de los extremos.

Impacto

Las operaciones de BianLian culminan con la extorsión, en la que amenazan con filtrar públicamente los datos robados, aprovechando el miedo de la víctima a las consecuencias reputacionales, financieras y legales para exigir el pago de rescates.

MITRE ATT&CK Cartografía

TTPs utilizados por BianLian

BianLian emplea varias TTP alineadas con el marco MITRE ATT&CK . Algunas de las principales son:

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1505

Server Software Component

T1136

Create Account

T1098

Account Manipulation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1068

Exploitation for Privilege Escalation

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1112

Modify Registry

T1036

Masquerading

T1027

Obfuscated Files or Information

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1552

Unsecured Credentials

T1003

OS Credential Dumping

TA0007: Discovery

T1518

Software Discovery

T1482

Domain Trust Discovery

T1135

Network Share Discovery

T1087

Account Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1069

Permission Groups Discovery

T1057

Process Discovery

T1046

Network Service Discovery

T1033

System Owner/User Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1560

Archive Collected Data

T1115

Clipboard Data

TA0011: Command and Control

T1219

Remote Access Software

T1105

Ingress Tool Transfer

T1090

Proxy

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1537

Transfer Data to Cloud Account

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar BianLian con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Cuál es el principal método de BianLian para obtener acceso inicial?

BianLian obtiene el acceso inicial principalmente a través de credenciales RDP comprometidas, a menudo obtenidas a través de phishing o de intermediarios de acceso inicial.

¿Cómo consigue BianLian eludir la detección?

Desactivan las herramientas antivirus y las funciones de protección contra manipulaciones mediante PowerShell y modifican el Registro de Windows para evitar su detección.

¿Cuáles son los principales objetivos de BianLian?

BianLian se dirige a sectores de infraestructuras críticas en Estados Unidos y a empresas privadas en Australia, incluidos sectores como la sanidad, los servicios financieros y la promoción inmobiliaria.

¿Cómo exfiltra datos BianLian?

BianLian exfiltra datos utilizando FTP, Rclone o Mega, subiendo archivos sensibles a los servicios de almacenamiento cloud .

¿Qué cambios introdujo BianLian en sus tácticas de extorsión en 2023?

En 2023, BianLian pasó de cifrar los sistemas de las víctimas a centrarse en la extorsión basada en la filtración, amenazando con divulgar los datos robados a menos que se le pagara.

¿Qué herramientas utiliza BianLian para el descubrimiento de redes?

Utilizan herramientas como Advanced Port Scanner, SoftPerfect Network Scanner y PingCastle para identificar objetivos valiosos dentro de una red.

¿Cómo escala BianLian privilegios dentro de una red?

BianLian activa las cuentas de administrador local y cambia las contraseñas para elevar los privilegios, facilitando la explotación posterior.

¿Qué métodos utiliza BianLian para el movimiento lateral?

BianLian utiliza PsExec y RDP con credenciales válidas para el movimiento lateral a través de la red.

¿Cómo pueden protegerse las organizaciones contra las tácticas de BianLian?

Aplique controles estrictos a las herramientas de acceso remoto, desactive los servicios innecesarios, aplique políticas estrictas de contraseñas y garantice actualizaciones y parches periódicos del software.

¿Qué papel pueden desempeñar las soluciones XDR en la defensa contra BianLian?

Las soluciones XDR pueden ayudar proporcionando una visibilidad completa y capacidades de respuesta automatizadas, detectando y mitigando actividades sospechosas en puntos finales, redes y entornos cloud .

¿Está su organización a salvo de los ataques de BianLian?

Evalúe su exposición a los ataques