BianLian ランサムウェア検出: 支払うべきか、否か

複数の業界を攻撃するクロスプラットフォームのBianLianランサムウェアの背後にいる対戦相手は、オーストラリア、北アメリカ、英国の企業を標的にしており、メディアとエンターテイメント、ヘルスケア、教育、製造などを含む。

このランサムウェアの株は2021年12月に初めて登場し、最近の報告によると、現在活発に開発されています。BianLianランサムウェアギャングは少なくとも20社をすでに攻撃していますが、身代金を支払った被害者がTor上の対戦相手のデータ漏洩サイトに一覧されていないため、実際の数はもっと高いと思われます。

BianLianランサムウェアの検出

BianLianランサムウェアに関連する行動を識別するために、経験豊富なThreat Bounty投稿者がリリースした以下の脅威検出コンテンツを使用してください。 Aytek Aytemur:

関連するプロセスの検出による新しいBianLianランサムウェア[CVE-2021-34473]の挙動（プロセス作成を介して）

このSigmaルールは MITRE ATT&CK®フレームワーク v.10に準拠しており、26 SIEM、EDR & XDRプラットフォームに翻訳されています。

繰り返しになりますが、タイムリーな脅威の予防と検出の極めて重要性を強調したいと思います。検証済みの脅威検出コンテンツを活用してセキュリティ姿勢を強化し、関連する脅威を簡単に検索し、CTIやATT&CKの参照のようなコンテキストメタデータに即座に飛び込んでください。「 脅威のコンテキストを探索 」ボタンを押して、SOC Primeサイバー脅威検索エンジンを使用して関連する検索結果を掘り下げてください。

検出を探索する  

BianLianランサムウェアの説明

Goで書かれたBianLianランサムウェアは、SonicWall VPNデバイスとMicrosoft Exchange Serverの ProxyShellの脆弱性を妥協するように設計されています。このランサムウェアアクターは、システムに侵入し横方向に検出されないように動くために洗練された技術を用いています。新しいプレイヤーであるにもかかわらず、攻撃者はリモートサーバーから悪意のあるペイロードを取得して実行します。また、すべての詳細な攻撃において長期間の侵入が報告されています。

研究データは、 新しい指揮・制御（C＆C）サーバへのランサムウェアオペレーターの投資を示しており、キャンペーンが非常に素早く勢いを増していることを保証します。

Golangベースのランサムウェアが人気を集めており、セキュリティ研究者は今後、このマルウェアタイプを利用した攻撃の増加を予測しています。この高い需要は、コードの汎用性（いったん書かれたマルウェアは異なるOSを跨いで使用可能）とGoベースのマルウェアの著名な隠密性によって説明されるかもしれません。

ランサムウェアは2022年において多くの脅威アクターにとって最も儲かる収入源の一つであり続けています。経済的に動機づけられた攻撃が企業の日々の流れを麻痺させ、対象に壊滅的な財政的負担をかける中、最良の選択肢は、ビジネスの規模や業種を問わず、業界特化の最良のソリューションで武装することです。SOC Primeの「 検出をCodeプラットフォーム 」に参加して、フィールドの有名な専門家によって作成された世界最大の検出コンテンツプールへのアクセスを開放し、最新の脅威に迅速に対応するためのチームの努力で、最新の検出を見逃すことはないと安心してください。