Rilevamento del Ransomware BianLian: Pagare o Non Pagare?

Gli avversari dietro il ransomware BianLian cross-platform prendono di mira aziende in Australia, Nord America e Regno Unito, attaccando diversi settori, tra cui media e intrattenimento, sanità, istruzione e manifattura.

La variante del ransomware è apparsa per la prima volta a dicembre 2021 e, secondo recenti rapporti, è attualmente in fase di sviluppo attivo. La BianLian Ransomware Gang ha già compromesso almeno 20 aziende; tuttavia, i numeri reali sono probabilmente più alti, dato che le vittime che hanno pagato il riscatto non sono elencate sul sito di diffusione dei dati degli avversari su Tor.

Rileva il Ransomware BianLian

Per identificare i comportamenti associati al ransomware BianLian, utilizza il seguente contenuto di rilevamento delle minacce rilasciato dal contributore esperto di Threat Bounty Aytek Aytemur:

Nuovo comportamento del Ransomware BianLian[CVE-2021-34473] tramite il Rilevamento di Processi Associati (via creatione_processi)

La regola Sigma è allineata con il framework MITRE ATT&CK® v.10 e ha traduzioni per 26 piattaforme SIEM, EDR & XDR.

Rischiando di sembrare ripetitivi, vogliamo sottolineare l’importanza fondamentale della tempestiva prevenzione e rilevamento delle minacce. Rafforza la tua postura di sicurezza utilizzando contenuti di rilevamento delle minacce verificati, cerca facilmente minacce correlate e immergiti istantaneamente in metadati contestuali, come riferimenti CTI e ATT&CK. Premi il Esplora Contesto della Minaccia pulsante e approfondisci i risultati di ricerca pertinenti utilizzando il Motore di Ricerca delle Minacce Informatiche di SOC Prime.

Esplora i Rilevamenti  

Descrizione del Ransomware BianLian

Scritto in Go, il ransomware BianLian è progettato per compromettere dispositivi VPN SonicWall e Microsoft Exchange Server vulnerabilità ProxyShell.L’attore del ransomware impiega tecniche sofisticate per infiltrarsi nei sistemi e muoversi lateralmente inosservato, nonostante sia un nuovo protagonista nel panorama dei ransomware. Dopo gli exploit, gli attaccanti scaricano payload dannosi da un server remoto ed eseguono gli stessi. Inoltre, i ricercatori riportano casi di permanenza prolungata in tutti gli attacchi dettagliati.

I dati della ricerca indicano l’investimento degli operatori di ransomware in nuovi server C&C, garantendo che la campagna stia prendendo piede piuttosto rapidamente.

Il ransomware basato su Golang è in aumento di popolarità, e i ricercatori di sicurezza prevedono che vedremo un incremento costante degli attacchi che sfruttano questo tipo di malware nel prossimo futuro. La grande richiesta può essere spiegata dalla versatilità del codice (una volta scritto il malware può essere usato su diversi OS) e dalla spiccata furtività dei pezzi di malware basati su Go.

Il ransomware continua a essere una delle fonti di reddito più lucrative per molti attori delle minacce nel 2022. Con attacchi a scopo finanziario che paralizzano le attività quotidiane delle aziende e mettono a dura prova le loro finanze, l’opzione migliore è armarsi delle migliori soluzioni specifiche del settore disponibili, indipendentemente dalla dimensione o linea di attività. Unisciti alla piattaforma Detection as Code di SOC Prime per sbloccare l’accesso alla più grande raccolta di contenuti di rilevamento creati da esperti rinomati del settore. Sii sicuro di non perdere nessun aggiornamento essenziale poiché i nostri esperti SOC si sforzano di pubblicare tutte le rilevazioni più recenti, mantenendo una risposta rapida alle minacce più recenti.