Detección de Ransomware BianLian: AA23-136A Consejos de Seguridad Cibernética Conjuntos sobre TTPs Utilizados por Operadores de BianLian en las Campañas Maliciosas Actuales

Tras una ola de ciberataques por parte del colectivo de hackers vinculado a Irán rastreado como Pioneer Kitten, el FBI, CISA y socios autores emiten una nueva alerta notificando a los defensores sobre una creciente amenaza planteada por el Grupo de Ransomware BianLian, que principalmente apunta a organizaciones de infraestructura crítica en EE. UU. y Australia.

Detectar Ransomware BianLian

Según el Informe sobre el Estado del Ransomware 2024 de Sophos, el 59 % de las organizaciones a nivel mundial han sufrido un ataque de ransomware, con el 70 % de ellos terminando en una encriptación de datos exitosa. La demanda de rescate promedio ha aumentado a $2.73 millones en 2024, casi un incremento de $1 millón en comparación con 2023. Esto resalta la necesidad urgente de detección proactiva de ransomware, convirtiéndola en una de las principales prioridades para los defensores cibernéticos.

La última recomendación conjunta de CISA, FBI y socios (AA23-136A) advierte a los profesionales de seguridad sobre nuevas tácticas, técnicas y procedimientos empleados por los operadores de ransomware BianLian. Para ayudar a las organizaciones a detectar ataques de ransomware BianLian de manera proactiva, la Plataforma de SOC Prime para la defensa cibernética colectiva agrega un conjunto de reglas Sigma relevantes. Todas las detecciones son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® para ayudar a los profesionales de seguridad a agilizar las actividades de investigación y caza de amenazas.

Presione el botón Explorar Detecciones a continuación para profundizar inmediatamente en un paquete de contenido de detección destinado a detectar ataques de ransomware BianLian.

botón Explorar Detecciones

Para analizar retrospectivamente los ataques de BianLian y obtener más contexto sobre la actividad maliciosa vinculada a la banda de ransomware, los practicantes de seguridad pueden seguir este enlace para obtener más contenido relacionado. Para simplificar la búsqueda de contenido, SOC Prime admite el filtrado por etiquetas personalizadas ‘AA23-136A’ y ‘BianLian’ directamente en el Mercado de Detección de Amenazas. 

Además, los profesionales de seguridad pueden usar Uncoder AI, el primer copiloto de IA de la industria para Ingeniería de Detección, para buscar instantáneamente indicadores de compromiso. Uncoder AI actúa como un empaquetador de IOC, permitiendo a los defensores cibernéticos interpretar sin esfuerzo IOC y generar consultas de caza a medida. Estas consultas pueden luego integrarse sin problemas en sus sistemas SIEM o EDR preferidos para su ejecución inmediata.

Análisis del Ataque del Grupo Ransomware BianLian

El 20 de noviembre de 2024, las principales organizaciones autoras de EE. UU. y Australia emitieron una nueva alerta de ciberseguridad AA23-136A advirtiendo a la comunidad global de defensores cibernéticos sobre los volúmenes crecientes de ataques por parte de la banda de ransomware BianLian. El grupo de hackers está involucrado en el desarrollo, despliegue y extorsión de datos de ransomware, probablemente operando desde Rusia, con varios afiliados de ransomware basados en el país.

Desde principios de verano de 2022, BianLian ha apuntado a sectores de infraestructura crítica en EE. UU. y Australia, junto con organizaciones de servicios profesionales y desarrollo de propiedades. Los adversarios obtienen acceso a los sistemas objetivo a través de credenciales RDP válidas, usan utilidades de código abierto para descubrimiento y recolección de credenciales, y exfiltran datos a través de FTP, Rclone o Mega. Inicialmente empleando un modelo de doble extorsión, el grupo cambió a la extorsión basada en la exfiltración de datos en enero de 2023 y usó exclusivamente este método para enero de 2024.

La banda de ransomware BianLian se enfoca en explotar aplicaciones expuestas al público en infraestructuras tanto de Windows como de ESXi, utilizando potencialmente la cadena de exploits ProxyShell (CVE-2021-34473, CVE-2021-34523, y CVE-2021-31207) para obtener acceso inicial.

Los adversarios también despliegan un backdoor personalizado escrito en Go, instalan software de administración remota para persistencia y crean o modifican cuentas de administrador local. Pueden usar herramientas como Ngrok y Rsocks modificados para proxy inverso y túneles de red SOCKS5 para ocultar el tráfico C2. Además, se ha observado a BianLian armando CVE-2022-37969 en Windows 10/11 para elevar privilegios.

El colectivo de hackers aplica una amplia gama de técnicas para dificultar la detección. Por ejemplo, emplean PowerShell y Shell de Comando de Windows para deshabilitar herramientas antivirus, incluyendo Windows Defender y AMSI. Modifican el Registro de Windows para desactivar la protección contra manipulaciones para servicios como Sophos, permitiéndoles desinstalar estos servicios. Además, renombran binarios y tareas programadas para parecer servicios legítimos de Windows o herramientas de seguridad y pueden empaquetar ejecutables con UPX para evadir la detección.

El grupo BianLian también utiliza una mezcla de herramientas compiladas y utilidades nativas de Windows para recopilar información sobre el entorno de la víctima, como Advanced Port Scanner para identificar puertos abiertos, SoftPerfect Network Scanner para hacer ping a computadoras y descubrir carpetas compartidas, SharpShares para enumerar recursos compartidos de red y PingCastle para enumerar Active Directory.

Además, los adversarios explotan cuentas válidas para movimiento lateral y actividades ofensivas adicionales. Obtienen credenciales buscando datos no seguros en máquinas locales usando Windows Command Shell, recolectando credenciales de la memoria de LSASS y descargando herramientas como RDP Recognizer para fuerza bruta de contraseñas RDP o verificar vulnerabilidades. Notablemente, los adversarios aplican tácticas adicionales para coaccionar a las víctimas a pagar el rescate, como imprimir notas de rescate en impresoras de red y realizar llamadas telefónicas amenazadoras a los empleados de las organizaciones objetivo.

Los crecientes volúmenes de ciberataques contra los sectores de infraestructura crítica relacionados con los afiliados del ransomware BianLian vinculados a Rusia alientan a las organizaciones globales a buscar soluciones de seguridad viables para reforzar sus defensas. Para minimizar los riesgos de ataques de ransomware por parte de actores del grupo BianLian, los defensores recomiendan limitar el uso de RDP, deshabilitar permisos de línea de comandos y scripting, y restringir el acceso a PowerShell en sistemas Windows. Además, aplicar de manera oportuna una estrategia de ciberseguridad proactiva respaldada por tecnologías de vanguardia empodera a los equipos de seguridad para contrarrestar efectivamente las amenazas emergentes y proteger su postura de seguridad en el futuro. La plataforma de SOC Prime para la defensa cibernética colectiva equipando a organizaciones de diversos sectores industriales con soluciones de última generación respaldadas por inteligencia de amenazas impulsada por la comunidad e IA para salvaguardar proactivamente contra los ataques más sofisticados que representan la mayor amenaza para el negocio de la organización.