Copilotと Microsoft Azureの新しいVectra AI Platformの適用範囲を紹介する。

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

ビアンリアン

BianLian は、高度なデータ流出と恐喝のテクニックによって重要なインフラ部門を標的にすることで知られるランサムウェアグループで、当初は二重の恐喝モデルを採用していましたが、その後純粋なデータ恐喝へと移行しました。

検知 ビアンリアンのTTP
あなたの組織はビアンリアンの攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

ビアンリアンの由来

BianLianはランサムウェアの開発・配備・データ強要を行うサイバー犯罪集団で、2022年6月から活動している。当初は、被害者のシステムを暗号化し、データを流出させるという二重の恐喝モデルを採用していました。しかし、2023年1月頃には、データを盗み出し、身代金を支払わない限りデータを公開すると脅迫する、主に流出ベースの恐喝に移行しました。このグループは、米国の複数の重要インフラ部門の組織やオーストラリアの民間企業を標的としている。

ビアンリアンの由来
ターゲット

ビアンリアンの目標

ビアンリアンがターゲットにしている国

BianLianの攻撃の大半は米国に集中しており、57.8%を占めている。その他の重要な標的は、英国(10.2%)、カナダ(6.8%)、インド(4.8%)などである。さらに、オーストラリア、スウェーデン、ドイツ、オーストリアなどの国も、程度は低いものの、被害を受けている。この分布は、強固なデジタル・インフラと大量の貴重なデータを持つ先進国にグループが焦点を当てていることを強調している。

ソース SOCRadar

ビアンリアンがターゲットとする産業

BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。

ソース パロアルトの42番ユニット

ビアンリアンがターゲットとする産業

BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。

ソース パロアルトの42番ユニット

ビアンリアンの犠牲者

BianLianは、金融、ヘルスケア、不動産開発分野の中堅から大企業を含む425以上の被害 者を標的としていました。漏洩したRDP認証情報を活用し、機密データを流出させるというこのグループの手法は、被害を受けた組織に多大な財務的・風評的損害をもたらしました。

ソース ランサムウェア.ライブ

攻撃方法

ビアンリアンの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

BianLian は、侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介して初期アクセスを取得します。多くの場合、初期アクセス・ブローカーから取得するか、フィッシングキャンペーンを介して取得します。また、リモートアクセスサービスの脆弱性も悪用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

このグループは、ローカル管理者アカウントをアクティブにし、パスワードを変更して特権を昇格させ、ネットワークのさらなる悪用を可能にする。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

PowerShellやWindows Command Shellを使ってウイルス対策ツールや改ざん防止機能を無効にし、レジストリを変更して検知を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

BianLian は LSASS (Local Security Authority Subsystem Service) のメモリから認証情報を取得し、様々なコマンドラインツールを使用してローカルマシン上の安全でない認証情報を検索します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

BianLian は、Advanced Port Scanner、SoftPerfect Network Scanner、PingCastle などのツールを活用して、ネットワークとアクティブ・ディレクトリを徹底的に偵察し、貴重な標的を特定します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

このグループは、PsExecや有効な認証情報を持つRDPのようなツールを使い、Netlogonの脆弱性(CVE-2020-1472)などの脆弱性を悪用してネットワーク内を横移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

BianLian はmalware を使ってレジストリやファイルを列挙し、クリップボードのデータをコピーして、恐喝のための機密情報を収集します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

彼らはカスタムバックドアを配備し、正規のリモートアクセスソフトウェア(TeamViewer、Atera Agentなど)を使用して、侵害されたシステムの永続性と制御を維持する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは、ファイル転送プロトコル(FTP)、Rclone、またはMegaを使用して流出し、さらに恐喝の試みで活用するために、機密ファイルはクラウドストレージサービスにアップロードされる。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

このグループは、身代金を支払わなければ流出したデータを公開しないと脅すことで、データ強奪に移行する。ネットワークプリンターに身代金のメモを印刷したり、被害者に脅迫電話をかけるなどの手口を使っている。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

BianLian は、侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介して初期アクセスを取得します。多くの場合、初期アクセス・ブローカーから取得するか、フィッシングキャンペーンを介して取得します。また、リモートアクセスサービスの脆弱性も悪用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

このグループは、ローカル管理者アカウントをアクティブにし、パスワードを変更して特権を昇格させ、ネットワークのさらなる悪用を可能にする。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

PowerShellやWindows Command Shellを使ってウイルス対策ツールや改ざん防止機能を無効にし、レジストリを変更して検知を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

BianLian は LSASS (Local Security Authority Subsystem Service) のメモリから認証情報を取得し、様々なコマンドラインツールを使用してローカルマシン上の安全でない認証情報を検索します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

BianLian は、Advanced Port Scanner、SoftPerfect Network Scanner、PingCastle などのツールを活用して、ネットワークとアクティブ・ディレクトリを徹底的に偵察し、貴重な標的を特定します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

このグループは、PsExecや有効な認証情報を持つRDPのようなツールを使い、Netlogonの脆弱性(CVE-2020-1472)などの脆弱性を悪用してネットワーク内を横移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

BianLian はmalware を使ってレジストリやファイルを列挙し、クリップボードのデータをコピーして、恐喝のための機密情報を収集します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

彼らはカスタムバックドアを配備し、正規のリモートアクセスソフトウェア(TeamViewer、Atera Agentなど)を使用して、侵害されたシステムの永続性と制御を維持する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データは、ファイル転送プロトコル(FTP)、Rclone、またはMegaを使用して流出し、さらに恐喝の試みで活用するために、機密ファイルはクラウドストレージサービスにアップロードされる。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

このグループは、身代金を支払わなければ流出したデータを公開しないと脅すことで、データ強奪に移行する。ネットワークプリンターに身代金のメモを印刷したり、被害者に脅迫電話をかけるなどの手口を使っている。

MITRE ATT&CK マッピング

ビアンリアンが使用したTTP

BianLian は、MITRE ATT&CK のフレームワークに沿ったさまざまな TTP を採用している。主な TTP には次のようなものがある:

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1069
Permission Groups Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使った検知 BianLianの方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

ビアンリアンが最初のアクセスを得るための主な方法は?

BianLian は主に、侵害された RDP 認証情報(多くの場合、フィッシング経由または初期アクセスブローカーから入手)を通じて初期アクセスを取得します。

ビアンリアンはどうやって発見を逃れるのか?

彼らはPowerShellを使用してウイルス対策ツールや改ざん防止機能を無効にし、検出を避けるためにWindowsレジストリを変更する。

ビアンリアンの主な目標は?

ビアンリアンは、米国では重要インフラ部門を、オーストラリアではヘルスケア、金融サービス、不動産開発などの民間企業をターゲットにしている。

BianLian はどのようにしてデータを流出させるのか?

BianLian は、FTP、Rclone、または Mega を使用してデータを流出させ、機密ファイルをクラウドストレージサービスにアップロードします。

2023年、ビアンリアンは恐喝の手口にどのような変更を加えたのか?

2023年、BianLianは被害者のシステムを暗号化することから、お金を払わなければ盗んだデータを公開すると脅す、流出ベースの恐喝に重点を置くようになった。

BianLian がネットワーク検知に使用しているツールは?

彼らは、Advanced Port Scanner、SoftPerfect Network Scanner、PingCastleなどのツールを使って、ネットワーク内の貴重なターゲットを特定する。

BianLianはネットワーク内でどのように特権をエスカレートさせるのか?

BianLianはローカル管理者アカウントをアクティブにし、パスワードを変更して権限を昇格させ、さらなる悪用を容易にする。

ビアンリアンは横への移動にどのような方法を用いているのか?

BianLian は、PsExec と RDP を使用し、有効な認証情報を使用してネットワークを横移動します。

組織はどのようにしてビアンリアンの手口から身を守ることができるのか?

リモート・アクセス・ツールの厳格な管理、不要なサービスの無効化、強力なパスワード・ポリシーの実施、ソフトウェアの定期的な更新とパッチの適用を徹底する。

BianLianに対する防御において、XDRソリューションはどのような役割を果たすことができるのか?

XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検知および軽減することで支援することができます。

あなたの組織はビアンリアンの攻撃から安全ですか?

攻撃の危険性を評価する