Detección del Ransomware BianLian: ¿Pagar o No Pagar?
Tabla de contenidos:
Los adversarios detrás del ransomware multiplataforma BianLian atacan a empresas en Australia, América del Norte y el Reino Unido, atacando múltiples industrias, incluyendo los medios y el entretenimiento, la salud, la educación y la manufactura.
La cepa de ransomware apareció por primera vez en diciembre de 2021 y, según informes recientes, actualmente está en desarrollo activo. La Pandilla de Ransomware BianLian ya ha comprometido al menos a 20 empresas; sin embargo, los números reales probablemente son mayores, dado que las víctimas que pagaron el rescate no están listadas en el sitio de fuga de datos de los adversarios en Tor.
Detectar el Ransomware BianLian
Para identificar comportamientos asociados con el ransomware BianLian, utilice el siguiente contenido de detección de amenazas liberado por el experimentado colaborador de Threat Bounty Aytek Aytemur:
La regla Sigma está alineada con el marco MITRE ATT&CK® v.10 y tiene traducciones para 26 plataformas SIEM, EDR & XDR.
A riesgo de sonar como un disco rayado, queremos enfatizar la suma importancia de la prevención y detección de amenazas a tiempo. Fortalezca su postura de seguridad utilizando contenido de detección de amenazas validado, busque sin esfuerzo amenazas relacionadas y adéntrese instantáneamente en metadatos contextuales, como referencias de CTI y ATT&CK. Presione el botón Explorar Contexto de Amenazas y profundice en resultados de búsqueda relevantes usando el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime.
Descripción del Ransomware BianLian
Escrito en Go, el ransomware BianLian está diseñado para comprometer dispositivos VPN de SonicWall y el Servidor de Microsoft Exchange vulnerabilidades ProxyShell. El actor de ransomware emplea técnicas sofisticadas para infiltrarse en los sistemas y moverse lateralmente sin ser detectado, a pesar de ser un nuevo jugador en el ámbito del ransomware. Tras los exploits, los atacantes obtienen cargas maliciosas de un servidor remoto y las ejecutan. Además, los investigadores informan de casos de tiempos de permanencia prolongados en todos los ataques detallados.
Los datos de la investigación indican la inversión de los operadores de ransomware en nuevos servidores C&C, asegurando que la campaña está ganando impulso rápidamente.
El ransomware basado en Golang está ganando popularidad, y los investigadores de seguridad predicen que veremos un aumento constante de ataques utilizando este tipo de malware en el futuro cercano. La alta demanda puede explicarse por la versatilidad del código (una vez escrito, el malware puede usarse en diferentes sistemas operativos) y la eminente capacidad de sigilo de las piezas de malware basadas en Go.
El ransomware sigue siendo una de las fuentes de ingresos más lucrativas para muchos actores de amenazas en 2022. Con ataques motivados financieramente que paralizan el flujo diario de las empresas y ponen tensiones financieras devastadoras en sus objetivos, la mejor opción es armarse con las mejores soluciones específicas del sector disponibles, sin importar el tamaño o la línea de su negocio. Únase a la plataforma de Detección como Código de SOC Prime para desbloquear el acceso al mayor grupo de contenido de detección creado por expertos acreditados en el campo. Tenga la seguridad de que no se perderá de ninguna actualización esencial ya que nuestros expertos de SOC se esfuerzan por publicar todas las últimas detecciones, manteniendo una respuesta rápida a las últimas amenazas.
