BianLian は、高度なデータ流出と恐喝のテクニックによって重要なインフラ部門を標的にすることで知られるランサムウェアグループで、当初は二重の恐喝モデルを採用していましたが、その後純粋なデータ恐喝へと移行しました。
BianLianはランサムウェアとデータ強要を行うグループで、ロシアを拠点に活動している可能性が高い。このグループは2022年6月から活動しており、当初はデータの盗難とファイルの暗号化を組み合わせた二重の恐喝モデルを使用していました。しかし、2024年1月現在、BianLianは完全に流出のみの恐喝モデルに移行しています。彼らは現在、データを盗み出し、一般公開を防ぐために支払いを要求することだけに集中しており、被害者のシステムを暗号化することはなくなっている。BianLianという名前は、おそらく場所を誤認させるために付けられたもので、帰属を複雑にしようとする彼らの試みを反映しています。
BianLianの攻撃の大半は米国に集中しており、57.8%を占めている。その他の重要な標的は、英国(10.2%)、カナダ(6.8%)、インド(4.8%)などである。さらに、オーストラリア、スウェーデン、ドイツ、オーストリアなどの国も、程度は低いものの、被害を受けている。この分布は、強固なデジタル・インフラと大量の貴重なデータを持つ先進国にグループが焦点を当てていることを強調している。
ソース ランサムウェア.ライブ
BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。
ソース パロアルトの42番ユニット
BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。
ソース パロアルトの42番ユニット
BianLianは、金融、ヘルスケア、不動産開発分野の中堅から大企業を含む508社以上の被害者を 標的としていました。漏洩したRDP認証情報を活用し、機密データを流出させるというこのグループの手法は、被害を受けた組織に多大な財務的・風評的損害をもたらしました。
ソース ランサムウェア.ライブ
BianLian は、phishing や初期アクセス・ブローカーから入手した侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介してネットワークにアクセスします。また、ProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。
CVE-2022-37969のような脆弱性を悪用し、Windowsシステム上で特権を昇格させる。
このグループは、PowerShellとレジストリの変更を使用して、Windows DefenderやSophosの改ざん防止を含むウイルス対策ツールを無効にします。彼らはまた、malware を難読化するために UPX パッキングを採用しています。
BianLianのアクターは、Local Security Authority Subsystem Service (LSASS) のメモリをダンプし、ファイルに保存されたプレーンテキストの認証情報を検索することで、認証情報を盗み出します。
Advanced Port ScannerやSharpSharesのようなツールを使って、ネットワークサービス、共有フォルダ、ドメインアカウントを列挙し、ターゲットの環境をマッピングする。
彼らは、RDP、PsExec、サーバー・メッセージ・ブロック(SMB)接続を使用して、ネットワーク内を横移動する。
機密データは特定、圧縮、暗号化された後、流出のためにステージングされる。
データはFTP、Rclone、Megaを使って盗まれる。以前の作戦とは異なり、エンドポイントのデータは暗号化されなくなった。
BianLianの作戦は恐喝で頂点に達し、盗んだデータを公に漏らすと脅し、被害者の風評、金銭的、法的影響への恐怖を利用して身代金の支払いを要求する。
BianLian は、phishing や初期アクセス・ブローカーから入手した侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介してネットワークにアクセスします。また、ProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。
CVE-2022-37969のような脆弱性を悪用し、Windowsシステム上で特権を昇格させる。
このグループは、PowerShellとレジストリの変更を使用して、Windows DefenderやSophosの改ざん防止を含むウイルス対策ツールを無効にします。彼らはまた、malware を難読化するために UPX パッキングを採用しています。
BianLianのアクターは、Local Security Authority Subsystem Service (LSASS) のメモリをダンプし、ファイルに保存されたプレーンテキストの認証情報を検索することで、認証情報を盗み出します。
Advanced Port ScannerやSharpSharesのようなツールを使って、ネットワークサービス、共有フォルダ、ドメインアカウントを列挙し、ターゲットの環境をマッピングする。
彼らは、RDP、PsExec、サーバー・メッセージ・ブロック(SMB)接続を使用して、ネットワーク内を横移動する。
機密データは特定、圧縮、暗号化された後、流出のためにステージングされる。
データはFTP、Rclone、Megaを使って盗まれる。以前の作戦とは異なり、エンドポイントのデータは暗号化されなくなった。
BianLianの作戦は恐喝で頂点に達し、盗んだデータを公に漏らすと脅し、被害者の風評、金銭的、法的影響への恐怖を利用して身代金の支払いを要求する。
BianLian は、MITRE ATT&CK のフレームワークに沿ったさまざまな TTP を採用している。主な TTP には次のようなものがある:
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト:
BianLian は主に、侵害された RDP 認証情報(多くの場合、フィッシング経由または初期アクセスブローカーから入手)を通じて初期アクセスを取得します。
彼らはPowerShellを使用してウイルス対策ツールや改ざん防止機能を無効にし、検出を避けるためにWindowsレジストリを変更する。
ビアンリアンは、米国では重要インフラ部門を、オーストラリアではヘルスケア、金融サービス、不動産開発などの民間企業をターゲットにしている。
BianLian は、FTP、Rclone、または Mega を使用してデータを流出させ、機密ファイルをクラウドストレージサービスにアップロードします。
2023年、BianLianは被害者のシステムを暗号化することから、お金を払わなければ盗んだデータを公開すると脅す、流出ベースの恐喝に重点を置くようになった。
彼らは、Advanced Port Scanner、SoftPerfect Network Scanner、PingCastleなどのツールを使って、ネットワーク内の貴重なターゲットを特定する。
BianLianはローカル管理者アカウントをアクティブにし、パスワードを変更して権限を昇格させ、さらなる悪用を容易にする。
BianLian は、PsExec と RDP を使用し、有効な認証情報を使用してネットワークを横移動します。
リモート・アクセス・ツールの厳格な管理、不要なサービスの無効化、強力なパスワード・ポリシーの実施、ソフトウェアの定期的な更新とパッチの適用を徹底する。
XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検知および軽減することで支援することができます。