ビアンリアン
BianLian は、高度なデータ流出と恐喝のテクニックによって重要なインフラ部門を標的にすることで知られるランサムウェアグループで、当初は二重の恐喝モデルを採用していましたが、その後純粋なデータ恐喝へと移行しました。
ビアンリアンの由来
BianLianはランサムウェアとデータ強要を行うグループで、ロシアを拠点に活動している可能性が高い。このグループは2022年6月から活動しており、当初はデータの盗難とファイルの暗号化を組み合わせた二重の恐喝モデルを使用していました。しかし、2024年1月現在、BianLianは完全に流出のみの恐喝モデルに移行しています。彼らは現在、データを盗み出し、一般公開を防ぐために支払いを要求することだけに集中しており、被害者のシステムを暗号化することはなくなっている。BianLianという名前は、おそらく場所を誤認させるために付けられたもので、帰属を複雑にしようとする彼らの試みを反映しています。
ターゲット
ビアンリアンの目標
ビアンリアンがターゲットにしている国
BianLianの攻撃の大半は米国に集中しており、57.8%を占めている。その他の重要な標的は、英国(10.2%)、カナダ(6.8%)、インド(4.8%)などである。さらに、オーストラリア、スウェーデン、ドイツ、オーストリアなどの国も、程度は低いものの、被害を受けている。この分布は、強固なデジタル・インフラと大量の貴重なデータを持つ先進国にグループが焦点を当てていることを強調している。
ソース ランサムウェア.ライブ
ビアンリアンがターゲットとする産業
BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。
ソース パロアルトの42番ユニット
ビアンリアンがターゲットとする産業
BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。
ソース パロアルトの42番ユニット
ビアンリアンの犠牲者
BianLianは、金融、ヘルスケア、不動産開発分野の中堅から大企業を含む522以上の被害者を 標的としていました。漏洩したRDP認証情報を活用し、機密データを流出させるというこのグループの手法は、被害を受けた組織に多大な財務的・風評的損害をもたらしました。
ソース ランサムウェア.ライブ
攻撃方法
ビアンリアンの攻撃方法
BianLian は、phishing や初期アクセス・ブローカーから入手した侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介してネットワークにアクセスします。また、ProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。
CVE-2022-37969のような脆弱性を悪用し、Windowsシステム上で特権を昇格させる。
このグループは、PowerShellとレジストリの変更を使用して、Windows DefenderやSophosの改ざん防止を含むウイルス対策ツールを無効にします。彼らはまた、malware を難読化するために UPX パッキングを採用しています。
BianLianのアクターは、Local Security Authority Subsystem Service (LSASS) のメモリをダンプし、ファイルに保存されたプレーンテキストの認証情報を検索することで、認証情報を盗み出します。
Advanced Port ScannerやSharpSharesのようなツールを使って、ネットワークサービス、共有フォルダ、ドメインアカウントを列挙し、ターゲットの環境をマッピングする。
彼らは、RDP、PsExec、サーバー・メッセージ・ブロック(SMB)接続を使用して、ネットワーク内をラテラルムーブする。
機密データは特定、圧縮、暗号化された後、流出のためにステージングされる。
データはFTP、Rclone、Megaを使って盗まれる。以前の作戦とは異なり、エンドポイントのデータは暗号化されなくなった。
BianLianの作戦は恐喝で頂点に達し、盗んだデータを公に漏らすと脅し、被害者の風評、金銭的、法的影響への恐怖を利用して身代金の支払いを要求する。
初期アクセス
BianLian は、phishing や初期アクセス・ブローカーから入手した侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介してネットワークにアクセスします。また、ProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。
特権エスカレーション
CVE-2022-37969のような脆弱性を悪用し、Windowsシステム上で特権を昇格させる。
防御回避
このグループは、PowerShellとレジストリの変更を使用して、Windows DefenderやSophosの改ざん防止を含むウイルス対策ツールを無効にします。彼らはまた、malware を難読化するために UPX パッキングを採用しています。
クレデンシャル・アクセス
BianLianのアクターは、Local Security Authority Subsystem Service (LSASS) のメモリをダンプし、ファイルに保存されたプレーンテキストの認証情報を検索することで、認証情報を盗み出します。
ディスカバリー
Advanced Port ScannerやSharpSharesのようなツールを使って、ネットワークサービス、共有フォルダ、ドメインアカウントを列挙し、ターゲットの環境をマッピングする。
横の動き
彼らは、RDP、PsExec、サーバー・メッセージ・ブロック(SMB)接続を使用して、ネットワーク内をラテラルムーブする。
コレクション
機密データは特定、圧縮、暗号化された後、流出のためにステージングされる。
実行
データ流出
データはFTP、Rclone、Megaを使って盗まれる。以前の作戦とは異なり、エンドポイントのデータは暗号化されなくなった。
インパクト
BianLianの作戦は恐喝で頂点に達し、盗んだデータを公に漏らすと脅し、被害者の風評、金銭的、法的影響への恐怖を利用して身代金の支払いを要求する。
MITRE ATT&CK マッピング
ビアンリアンが使用したTTP
BianLian は、MITRE ATT&CK のフレームワークに沿ったさまざまな TTP を採用している。主な TTP には次のようなものがある:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出
Vectra AIを使った検知 BianLianの方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト:
よくあるご質問(FAQ)
ビアンリアンが最初のアクセスを得るための主な方法は?
BianLian は主に、侵害された RDP 認証情報(多くの場合、フィッシング経由または初期アクセスブローカーから入手)を通じて初期アクセスを取得します。
ビアンリアンはどうやって発見を逃れるのか?
彼らはPowerShellを使用してウイルス対策ツールや改ざん防止機能を無効にし、検出を避けるためにWindowsレジストリを変更する。
ビアンリアンの主な目標は?
ビアンリアンは、米国では重要インフラ部門を、オーストラリアではヘルスケア、金融サービス、不動産開発などの民間企業をターゲットにしている。
BianLian はどのようにしてデータを流出させるのか?
BianLian は、FTP、Rclone、または Mega を使用してデータを流出させ、機密ファイルをクラウドストレージサービスにアップロードします。
2023年、ビアンリアンは恐喝の手口にどのような変更を加えたのか?
2023年、BianLianは被害者のシステムを暗号化することから、お金を払わなければ盗んだデータを公開すると脅す、流出ベースの恐喝に重点を置くようになった。
BianLian がネットワーク検知に使用しているツールは?
彼らは、Advanced Port Scanner、SoftPerfect Network Scanner、PingCastleなどのツールを使って、ネットワーク内の貴重なターゲットを特定する。
BianLianはネットワーク内でどのように特権をエスカレートさせるのか?
BianLianはローカル管理者アカウントをアクティブにし、パスワードを変更して権限を昇格させ、さらなる悪用を容易にする。
ビアンリアンは横への移動にどのような方法を用いているのか?
BianLian は、PsExec と RDP を使用し、有効な認証情報を使用してネットワークを横移動します。
組織はどのようにしてビアンリアンの手口から身を守ることができるのか?
リモート・アクセス・ツールの厳格な管理、不要なサービスの無効化、強力なパスワード・ポリシーの実施、ソフトウェアの定期的な更新とパッチの適用を徹底する。
BianLianに対する防御において、XDRソリューションはどのような役割を果たすことができるのか?
XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検知および軽減することで支援することができます。