Rilevamento del Ransomware BianLian: Dettagli della Consulenza Congiunta sulla Cybersecurity AA23-136A sulle TTP Utilizzate dagli Operatori BianLian nelle Campagne Maligne in Corso
Indice:
A seguito di un’ondata di attacchi informatici da parte del collettivo di hacker collegato all’Iran, tracciato come Pioneer Kitten, l’FBI, CISA e i partner autori emettono un nuovo avviso per informare i difensori di una minaccia crescente posta dal gruppo ransomware BianLian, che prende principalmente di mira le organizzazioni di infrastrutture critiche negli Stati Uniti e in Australia.
Rilevare il ransomware BianLian
Secondo il rapporto sullo stato del ransomware 2024 di Sophos, il 59% delle organizzazioni a livello globale ha subito un attacco ransomware, con il 70% di essi che si è concluso con una crittografia dei dati avvenuta con successo. La richiesta di riscatto media è salita a 2,73 milioni di dollari nel 2024, quasi un milione di dollari in più rispetto al 2023. Questo evidenzia la necessità urgente di un rilevamento proattivo del ransomware, rendendolo una delle principali priorità per i difensori informatici.
Il più recente avviso congiunto di CISA, FBI e partner (AA23-136A) avverte i professionisti della sicurezza di nuove tattiche, tecniche e procedure impiegate dagli operatori del ransomware BianLian. Per aiutare le organizzazioni a rilevare proattivamente gli attacchi ransomware BianLian, la piattaforma SOC Prime per la difesa informatica collettiva aggrega un insieme di regole Sigma pertinenti. Tutti i rilevamenti sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappati al framework MITRE ATT&CK® per aiutare i professionisti della sicurezza a semplificare le attività di indagine e riconoscimento delle minacce.
Premere il pulsante Esplora Rilevamenti qui sotto per accedere immediatamente a un pacchetto di contenuti di rilevamento mirato a individuare attacchi ransomware BianLian.
Per analizzare retrospettivamente gli attacchi BianLian e ottenere più contesto sull’attività dannosa legata al gruppo ransomware, i professionisti della sicurezza possono seguire questo link per più contenuti correlati. Per semplificare la ricerca dei contenuti, SOC Prime supporta il filtraggio tramite tag personalizzati “AA23-136A” e “BianLian” direttamente nel Threat Detection Marketplace.
Inoltre, i professionisti della sicurezza possono utilizzare Uncoder AI, il primo co-pilota AI del settore per l’Ingegneria del Rilevamento, per cercare immediatamente indicatori di compromissione. Uncoder AI funge da impacchettatore di IOC, consentendo ai difensori informatici di interpretare agilmente gli IOC e generare query di ricerca personalizzate. Queste query possono essere poi integrate senza soluzione di continuità nei loro sistemi SIEM o EDR preferiti per un’esecuzione immediata.
Analisi degli attacchi del gruppo ransomware BianLian
Il 20 novembre 2024, le principali organizzazioni autrici degli Stati Uniti e dell’Australia hanno emesso un nuovo avviso di cybersecurity AA23-136A avvertendo la comunità globale di difensori informatici dell’aumento dei volumi di attacchi da parte del gruppo ransomware BianLian. Il gruppo di hacker è coinvolto nello sviluppo, nell’implementazione e nell’estorsione di dati tramite ransomware, operando probabilmente dalla Russia, con diversi affiliati di ransomware basati nel paese.
Dall’inizio dell’estate 2022, BianLian ha preso di mira i settori delle infrastrutture critiche negli Stati Uniti e in Australia, insieme a organizzazioni di servizi professionali e sviluppo immobiliare. Gli avversari ottengono accesso ai sistemi mirati tramite credenziali RDP valide, utilizzano utilità open source per la scoperta e la raccolta di credenziali ed esfiltrano dati tramite FTP, Rclone o Mega. Inizialmente usando un modello di doppia estorsione, il gruppo è passato all’estorsione basata sull’esfiltrazione di dati a gennaio 2023 e ha utilizzato esclusivamente questo metodo a gennaio 2024.
Il gruppo ransomware BianLian si concentra sullo sfruttamento di applicazioni esposte al pubblico sia nelle infrastrutture Windows che ESXi, utilizzando potenzialmente la catena di exploit ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) per ottenere l’accesso iniziale.
Gli avversari inoltre distribuiscono una backdoor personalizzata scritta in Go, installano software di gestione remota per la persistenza e creano o modificano account amministratori locali. Possono utilizzare strumenti come Ngrok e Rsocks modificato per proxy inverso e tunneling di rete SOCKS5 per oscurare il traffico C2. Inoltre, è stato osservato che BianLian ha utilizzato CVE-2022-37969 su Windows 10/11 per elevare i privilegi.
Il collettivo di hacker applica una vasta gamma di tecniche per ostacolare il rilevamento. Ad esempio, impiegano PowerShell e Windows Command Shell per disabilitare strumenti antivirus, inclusi Windows Defender e AMSI. Modificano il Registro di Windows per disabilitare la protezione da manomissioni per servizi come Sophos, consentendo loro di disinstallare questi servizi. Inoltre, rinominano binari e attività pianificate per assomigliare a servizi Windows legittimi o strumenti di sicurezza e possono impacchettare eseguibili con UPX per eludere il rilevamento.
Il gruppo BianLian utilizza inoltre un miscuglio di strumenti compilati e utilità native di Windows per raccogliere informazioni sull’ambiente della vittima, come Advanced Port Scanner per identificare le porte aperte, SoftPerfect Network Scanner per pingare computer e scoprire cartelle condivise, SharpShares per enumerare le condivisioni di rete e PingCastle per enumerare Active Directory.
Inoltre, gli avversari sfruttano account validi per il movimento laterale e ulteriori attività offensive. Ottengono credenziali cercando dati non protetti su macchine locali utilizzando Windows Command Shell, raccogliendo credenziali dalla memoria LSASS e scaricando strumenti come RDP Recognizer per forzare le password RDP o controllare vulnerabilità. È degno di nota che gli avversari applicano tattiche aggiuntive per costringere le vittime a pagare il riscatto, come stampare note di riscatto su stampanti di rete e fare telefonate minacciose ai dipendenti delle organizzazioni mirate.
Il crescente volume di attacchi informatici contro i settori delle infrastrutture critiche legati agli affiliati ransomware BianLian collegati alla Russia incoraggia le organizzazioni globali a cercare soluzioni di sicurezza fattibili per rafforzare le loro difese. Per ridurre al minimo i rischi degli attacchi ransomware da parte degli attori del gruppo BianLian, i difensori consigliano di limitare l’uso di RDP, disabilitare permessi di linea di comando e script, e restringere l’accesso a PowerShell sui sistemi Windows. Inoltre, applicare tempestivamente una strategia di cybersecurity proattiva supportata da tecnologie all’avanguardia consente ai team di sicurezza di contrastare efficacemente le minacce emergenti e garantire loro una postura di sicurezza futura. La piattaforma SOC Prime per la difesa informatica collettiva fornisce alle organizzazioni di diversi settori industriali soluzioni di ultima generazione sostenute da intelligence sulle minacce guidata dalla comunità e dall’AI per proteggersi proattivamente contro gli attacchi più sofisticati che rappresentano la maggiore minaccia per il business dell’organizzazione.