Erkennung von BianLian-Ransomware: AA23-136A Gemeinsame Cybersicherheitsberatung mit Einzelheiten zu TTPs, die von BianLian-Betreibern in den laufenden bösartigen Kampagnen eingesetzt werden
Inhaltsverzeichnis:
Nach einer Welle von Cyberangriffen der mit dem Iran verbundenen Hacking-Gruppe, die als Pioneer Kittenverfolgt wird, geben das FBI, CISA und beteiligte Partner eine neue Warnung heraus, die Verteidiger auf die wachsende Bedrohung durch die BianLian Ransomware Group hinweist, die sich vor allem auf kritische Infrastrukturen in den USA und Australien konzentriert.
Erkennung von BianLian Ransomware
Laut dem State of Ransomware Report 2024 von Sophos haben 59% der Organisationen weltweit einen Ransomware-Angriff erlitten, von denen 70% in einer erfolgreichen Datenverschlüsselung endeten. Die durchschnittliche Lösegeldforderung ist 2024 auf 2,73 Millionen US-Dollar gestiegen, was fast eine Million Dollar mehr ist als 2023. Dies unterstreicht die dringende Notwendigkeit einer proaktiven Ransomware-Erkennung und macht sie zu einer der obersten Prioritäten für Cyberverteidiger.
Die neueste gemeinsame Beratung durch CISA, FBI und Partner (AA23-136A) warnt Sicherheitsexperten vor neuen Taktiken, Techniken und Verfahren, die von den Betreibern der BianLian Ransomware eingesetzt werden. Um Organisationen dabei zu unterstützen, BianLian-Ransomware-Angriffe proaktiv zu erkennen, aggregiert SOC Primes Plattform für kollektive Cyberverteidigung eine Reihe relevanter Sigma-Regeln. Alle Erkennungen sind mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und mit dem MITRE ATT&CK® Framework abgebildet, um Sicherheitsexperten bei der Straffung von Bedrohungsuntersuchungen und Jagdaktivitäten zu helfen.
Drücken Sie den Erkennung erkunden Knopf unten, um sofort auf ein Erkennungsinhaltspaket zuzugreifen, das darauf abzielt, BianLian-Ransomware-Angriffe zu erkennen.
Um BianLian-Angriffe rückblickend zu analysieren und mehr Kontext zu den mit der Ransomware-Gruppe verbundenen bösartigen Aktivitäten zu erhalten, könnten Sicherheitspraktiker diesen Link für mehr verwandte Inhaltefolgen. Um die Inhaltssuche zu vereinfachen, unterstützt SOC Prime die Filterung nach benutzerdefinierten Tags „AA23-136A“ und „BianLian“ direkt im Threat Detection Marketplace.
Auch können Sicherheitsexperten Uncoder AI, den branchenweit ersten KI-Co-Piloten für Detection Engineering, nutzen, um sofort nach Indikatoren für Kompromittierung zu suchen. Uncoder AI fungiert als IOC-Packager, der Cyberverteidiger befähigt, IOCs mühelos zu interpretieren und maßgeschneiderte Suchanfragen zu generieren. Diese Abfragen können dann nahtlos in ihre bevorzugten SIEM- oder EDR-Systeme für die sofortige Ausführung integriert werden.
BianLian Ransomware Group Angriffsanalyse
Am 20. November 2024 gaben die führenden autorisierenden Organisationen der USA und Australiens eine neue AA23-136A-Cybersicherheitswarnung heraus und warnten die globale Gemeinschaft der Cyberverteidiger vor den zunehmenden Angriffen der BianLian-Ransomware-Gruppe. Die Hacking-Gruppe ist in der Ransomware-Entwicklung, -Verbreitung und Daten-Erpressung involviert und operiert wahrscheinlich aus Russland, mit mehreren Ransomware-Partnern im Land.
Seit dem Frühsommer 2022 zielt BianLian auf kritische Infrastruktursektoren in den USA und Australien ab, zusammen mit professionellen Dienstleistungen und Immobilienentwicklungsorganisationen. Gegner erlangen Zugang zu gezielten Systemen über gültige RDP-Anmeldeinformationen, verwenden Open-Source-Utilities zur Erkennung und Erntung von Anmeldeinformationen und exfiltrieren Daten über FTP, Rclone oder Mega. Ursprünglich ein Modell der Doppel-Erpressung anwendend, hat die Gruppe im Januar 2023 auf eine auf Datenexfiltration basierende Erpressung umgestellt und diese Methode ab Januar 2024 ausschließlich verwendet.
Die BianLian-Ransomware-Gruppe konzentriert sich darauf, öffentlich zugängliche Anwendungen sowohl in Windows- als auch in ESXi-Infrastrukturen auszunutzen und möglicherweise die ProxyShell-Exploits-Kette (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) zu nutzen, um anfänglichen Zugriff zu erhalten.
Gegner setzen auch ein maßgeschneidertes, in Go geschriebenes Backdoor-Tool ein, installieren Remote-Management-Software für Persistenz und erstellen oder ändern lokale Administrator-Konten. Sie können Tools wie Ngrok und modifizierte Rsocks für Reverse-Proxy und SOCKS5-Netzwerk-Tunneling verwenden, um C2-Traffic zu verschleiern. Zudem wurde beobachtet, dass BianLian CVE-2022-37969 auf Windows 10/11 nutzt, um Berechtigungen zu erhöhen.
Das Hacking-Kollektiv wendet eine breite Palette von Techniken an, um die Erkennung zu erschweren. Beispielsweise verwenden sie PowerShell und die Windows-Befehlszeile, um Antiviren-Tools, einschließlich Windows Defender und AMSI, zu deaktivieren. Sie ändern die Windows-Registrierung, um den Manipulationsschutz für Dienste wie Sophos zu deaktivieren, was ihnen ermöglicht, diese Dienste zu deinstallieren. Zusätzlich benennen sie Binärdateien und geplante Aufgaben um, damit sie wie legitime Windows-Dienste oder Sicherheits-Tools aussehen, und packen ausführbare Dateien möglicherweise mit UPX, um der Erkennung zu entgehen.
Die BianLian-Gruppe verwendet auch eine Mischung aus kompilierten Tools und nativen Windows-Utilities, um Informationen über die Umgebung des Opfers zu sammeln, wie z. B. Advanced Port Scanner, um offene Ports zu identifizieren, SoftPerfect Network Scanner, um Computer anzupingen und freigegebene Ordner zu entdecken, SharpShares, um Netzfreigaben zu enumerieren, und PingCastle, um Active Directory zu untersuchen.
Darüber hinaus nutzen Gegner gültige Konten für laterale Bewegungen und weitere offensive Aktivitäten. Sie beschaffen sich Anmeldedaten, indem sie nach ungesicherten Daten auf lokalen Maschinen mit Windows Command Shell suchen, Anmeldedaten aus dem LSASS-Speicher sammeln und Tools wie RDP Recognizer herunterladen, um RDP-Passwörter mit Brute-Force anzugreifen oder auf Schwachstellen zu prüfen. Bemerkenswerterweise setzen Gegner zusätzliche Taktiken ein, um Opfer zur Zahlung des Lösegelds zu zwingen, wie das Drucken von Lösegeldforderungen auf Netzwerkdruckern und das Führen bedrohlicher Telefonanrufe an Mitarbeiter der Zielorganisationen.
Die zunehmende Anzahl von Cyberangriffen gegen die kritischen Infrastruktursektoren, die mit den russia-verbundenen BianLian-Ransomware-Partnern verbunden sind, veranlasst globale Organisationen, nach realisierbaren Sicherheitslösungen zu suchen, um ihre Verteidigung zu stärken. Um die Risiken von Ransomware-Angriffen durch BianLian-Gruppenakteure zu minimieren, empfehlen Verteidiger, die Nutzung von RDP zu begrenzen, Befehlszeilen- und Skriptberechtigungen zu deaktivieren und den Zugriff auf PowerShell auf Windows-Systemen einzuschränken. Darüber hinaus ermächtigt das rechtzeitige Anwenden einer proaktiven Cybersicherheitsstrategie, unterstützt durch modernste Technologien, Sicherheitsteams, aufkommende Bedrohungen effektiv abzuwehren und ihre Sicherheitsposition zukunftssicher zu machen. SOC Primes Plattform für kollektive Cyberverteidigung stattet Organisationen in verschiedenen Branchen mit Next-Gen-Lösungen aus, die durch gemeinschaftsgetriebene Bedrohungsintelligenz und KI unterstützt werden, um proaktiv gegen die raffiniertesten Angriffe zu schützen, die die größte Bedrohung für das Geschäft der Organisation darstellen.