Détection du Ransomware BianLian : Conseils Conjoints de Cybersécurité AA23-136A sur les TTPs Utilisés par les Opérateurs BianLian dans les Campagnes Malveillantes en Cours
Table des matières :
Suite à une vague de cyberattaques par le collectif de pirates lié à l’Iran suivi sous le nom de Pioneer Kitten, le FBI, la CISA et les partenaires auteurs émettent une nouvelle alerte informant les défenseurs d’une menace croissante posée par le groupe de ransomware BianLian, qui cible principalement les organisations d’infrastructure critique aux États-Unis et en Australie.
Détecter le ransomware BianLian
Selon le rapport sur l’état des ransomwares 2024 de Sophos, 59% des organisations dans le monde ont subi une attaque par ransomware, avec 70% d’entre elles se terminant par un chiffrement de données réussi. La demande de rançon moyenne a grimpé à 2,73 millions de dollars en 2024, soit une augmentation de près d’un million de dollars par rapport à 2023. Cela souligne le besoin urgent d’une détection proactive des ransomwares, en faisant l’une des principales priorités pour les cyberdéfenseurs.
Le dernier avis conjoint de la CISA, du FBI et des partenaires (AA23-136A) avertit les professionnels de la sécurité des nouvelles tactiques, techniques et procédures employées par les opérateurs de ransomware BianLian. Pour aider les organisations à détecter proactivement les attaques de ransomware BianLian, la plateforme SOC Prime pour la défense cyber collective agrège un ensemble de règles Sigma pertinentes. Toutes les détections sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont cartographiées au cadre MITRE ATT&CK® pour aider les professionnels de la sécurité à rationaliser les activités d’investigation et de chasse aux menaces.
Appuyez sur le Exploration des détections bouton ci-dessous pour accéder immédiatement à un ensemble de contenu de détection visant à détecter les attaques de ransomware BianLian.
Pour analyser rétrospectivement les attaques de BianLian et obtenir plus de contexte sur l’activité malveillante liée au gang de ransomwares, les praticiens de la sécurité pourraient suivre ce lien pour plus de contenu connexe. Pour simplifier la recherche de contenu, SOC Prime prend en charge le filtrage par des tags personnalisés « AA23-136A » et « BianLian » directement dans le Marketplace de détection des menaces.
De plus, les professionnels de la sécurité pourraient utiliser Uncoder AI, le premier co-pilote AI de l’industrie pour l’ingénierie de la détection, pour rechercher instantanément des indicateurs de compromission. Uncoder AI agit comme un packager d’IOC, permettant aux cyberdéfenseurs d’interpréter facilement les IOCs et de générer des requêtes de chasse personnalisées. Ces requêtes peuvent ensuite être intégrées sans effort dans leurs systèmes SIEM ou EDR préférés pour une exécution immédiate.
Analyse des attaques du groupe de ransomware BianLian
Le 20 novembre 2024, les principales organisations d’auteurs aux États-Unis et en Australie ont émis un nouveau alerte de cybersécurité AA23-136A mettant en garde la communauté mondiale des cyberdéfenseurs contre l’augmentation du volume des attaques par le gang de ransomware BianLian. Le groupe de pirates est impliqué dans le développement de ransomwares, leur déploiement et l’extorsion de données, opérant probablement depuis la Russie, avec plusieurs affiliés de ransomwares basés dans le pays.
Depuis le début de l’été 2022, BianLian a ciblé les secteurs d’infrastructure critique aux États-Unis et en Australie, ainsi que les services professionnels et les organisations de développement immobilier. Les adversaires accèdent aux systèmes ciblés via des identifiants RDP valides, utilisent des utilitaires open-source pour la découverte et la collecte d’identifiants, et exfiltrent des données via FTP, Rclone ou Mega. Employant initialement un modèle de double extorsion, le groupe est passé à l’extorsion basée sur l’exfiltration de données en janvier 2023 et a utilisé exclusivement cette méthode d’ici janvier 2024.
Le gang de ransomware BianLian se concentre sur l’exploitation des applications exposées au public dans les infrastructures Windows et ESXi, utilisant potentiellement la chaîne d’exploits ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) pour obtenir un accès initial.
Les adversaires déploient également une porte dérobée sur mesure écrite en Go, installent un logiciel de gestion à distance pour pérenniser la persistance, et créent ou modifient des comptes administrateur locaux. Ils peuvent utiliser des outils comme Ngrok et Rsocks modifiés pour le proxy inverse et le tunnel réseau SOCKS5 pour masquer le trafic de commande et de contrôle. De plus, BianLian a été observé en train d’armiser CVE-2022-37969 sur Windows 10/11 pour élever les privilèges.
Le collectif de pirates applique une large gamme de techniques pour entraver la détection. Par exemple, ils utilisent PowerShell et l’invite de commande Windows pour désactiver les outils antivirus, y compris Windows Defender et AMSI. Ils modifient le registre Windows pour désactiver la protection contre le sabotage des services tels que Sophos, leur permettant de désinstaller ces services. De plus, ils renommant les binaires et les tâches planifiées pour ressembler à des services Windows ou des outils de sécurité légitimes et peuvent empaqueter les exécutables avec UPX pour échapper à la détection.
Le groupe BianLian utilise également un mélange d’outils compilés et d’utilitaires natifs de Windows pour recueillir des informations sur l’environnement de la victime, comme Advanced Port Scanner pour identifier les ports ouverts, SoftPerfect Network Scanner pour envoyer des pings aux ordinateurs et découvrir les dossiers partagés, SharpShares pour énumérer les partages réseau, et PingCastle pour énumérer Active Directory.
De plus, les adversaires exploitent des comptes valides pour le mouvement latéral et d’autres activités offensives. Ils obtiennent des identifiants en recherchant des données non sécurisées sur les machines locales à l’aide de Windows Command Shell, en récoltant des identifiants à partir de la mémoire LSASS, et en téléchargeant des outils comme RDP Recognizer pour forcer par la force RDP les mots de passe ou vérifier les vulnérabilités. Notamment, les adversaires appliquent des tactiques supplémentaires pour contraindre les victimes à payer la rançon, comme imprimer des notes de rançon sur les imprimantes réseau et passer des appels téléphoniques menaçants aux employés des organisations ciblées.
L’augmentation des volumes de cyberattaques contre les secteurs d’infrastructure critique liés aux affiliés de ransomwares BianLian associés à la Russie incite les organisations mondiales à rechercher des solutions de sécurité réalisables pour renforcer leurs défenses. Pour minimiser les risques d’attaques de ransomware par les acteurs du groupe BianLian, les défenseurs recommandent de limiter l’utilisation de RDP, de désactiver les permissions des lignes de commande et des scripts, et de restreindre l’accès PowerShell sur les systèmes Windows. De plus, l’application en temps opportun d’une stratégie de cybersécurité proactive soutenue par des technologies de pointe permet aux équipes de sécurité de contrecarrer efficacement les menaces émergentes et de sécuriser leur positionnement de sécurité pour l’avenir. La plateforme SOC Prime pour la défense cyber collective équipe les organisations de divers secteurs industriels avec des solutions de nouvelle génération soutenues par l’intelligence sur les menaces pilotée par la communauté et l’IA pour protéger de manière proactive contre les attaques les plus sophistiquées qui posent la plus grande menace pour l’activité de l’organisation.