Détection du Ransomware BianLian : Payer ou ne pas Payer ?
Table des matières :
Les adversaires derrière un ransomware BianLian multiplateforme ciblent des entreprises en Australie, en Amérique du Nord et au Royaume-Uni, attaquant plusieurs industries, y compris les médias et le divertissement, la santé, l’éducation et la fabrication.
La souche de ransomware a fait surface pour la première fois en décembre 2021 et, selon des rapports récents, elle est actuellement en cours de développement actif. Le gang du ransomware BianLian a déjà compromis au moins 20 entreprises ; cependant, les chiffres réels sont probablement plus élevés, étant donné que les victimes qui ont payé la rançon ne sont pas répertoriées sur le site de fuite de données des adversaires sur Tor.
Détecter le ransomware BianLian
Pour identifier les comportements associés au ransomware BianLian, utilisez le contenu de détection de menaces suivant publié par le contributeur expérimenté Threat Bounty Aytek Aytemur:
La règle Sigma est alignée avec le cadre MITRE ATT&CK® v.10 et comporte des traductions pour 26 plateformes SIEM, EDR & XDR.
Au risque de sembler répéter sans cesse, nous voulons souligner l’importance capitale de la prévention et de la détection des menaces en temps opportun. Renforcez votre posture de sécurité en utilisant du contenu de détection de menaces validé, recherchez facilement des menaces connexes et plongez instantanément dans les métadonnées contextuelles, comme les références CTI et ATT&CK. Appuyez sur le bouton Explorer le contexte des menaces et approfondissez les résultats de recherche pertinents à l’aide du moteur de recherche SOC Prime Cyber Threats.
Description du ransomware BianLian
Écrit en Go, le ransomware BianLian est conçu pour compromettre les appareils VPN SonicWall et le serveur Microsoft Exchange vulnérabilités ProxyShell. L’acteur du ransomware utilise des techniques sophistiquées pour pénétrer dans les systèmes et se déplacer latéralement sans être détecté, malgré le fait d’être un nouvel acteur dans le paysage des ransomwares. Après les exploits, les attaquants récupèrent des charges malveillantes depuis un serveur distant et les exécutent. De plus, les chercheurs rapportent des cas de temps de séjour prolongé dans toutes les attaques détaillées.
Les données de recherche indiquent l’investissement des opérateurs de ransomware dans de nouveaux serveurs de commande et de contrôle, garantissant que la campagne prend rapidement de l’ampleur.
Les ransomwares basés sur Golang gagnent en popularité, et les chercheurs en sécurité prédisent que nous verrons une augmentation constante des attaques utilisant ce type de malware dans un avenir proche. La forte demande peut s’expliquer par la polyvalence du code (une fois écrit, le malware peut être utilisé sur différents systèmes d’exploitation) et par la furtivité prééminente des pièces de malware basées sur Go.
Le ransomware continue d’être l’une des sources de revenus les plus lucratives pour de nombreux acteurs malveillants en 2022. Avec des attaques motivées par des raisons financières paralysant les flux quotidiens des entreprises et imposant des contraintes financières dévastatrices à leurs cibles, la meilleure option est de s’armer des meilleures solutions spécifiques à l’industrie disponibles – quelle que soit la taille ou la ligne de votre entreprise. Rejoignez la plateforme Detection as Code de SOC Prime pour accéder au plus grand pool mondial de contenu de détection créé par des experts réputés dans le domaine. Soyez assuré que vous ne manquerez aucune mise à jour essentielle puisque nos experts SOC s’efforcent de publier toutes les dernières détections, maintenant une réponse rapide aux dernières menaces.
