Detecção de Ransomware BianLian: Detalhes do Aviso Conjunto de Cibersegurança AA23-136A sobre TTPs Utilizadas por Operadores BianLian em Campanhas Maliciosas Atuais

Após uma onda de ataques cibernéticos pelo coletivo de hackers ligado ao Irã rastreado como Pioneer Kitten, o FBI, CISA e parceiros autores emitem um novo alerta notificando os defensores sobre uma ameaça crescente representada pelo BianLian Ransomware Group, que tem como alvo principal organizações de infraestrutura crítica nos EUA e na Austrália.

Detectar BianLian Ransomware

De acordo com o Relatório do Estado do Ransomware 2024 da Sophos, 59% das organizações globalmente sofreram um ataque de ransomware, com 70% delas terminando em criptografia de dados bem-sucedida. A demanda média de resgate aumentou para US$ 2,73 milhões em 2024, quase US$ 1 milhão a mais em comparação com 2023. Isso destaca a necessidade urgente de detecção proativa de ransomware, tornando-se uma das principais prioridades para os defensores cibernéticos.

O último aviso conjunto da CISA, FBI e parceiros (AA23-136A) alerta os profissionais de segurança sobre novas táticas, técnicas e procedimentos empregados pelos operadores de ransomware BianLian. Para ajudar as organizações a detectar proativamente ataques de ransomware BianLian, a Plataforma da SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma relevantes. Todas as detecções são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o quadro MITRE ATT&CK® para ajudar os profissionais de segurança a agilizar as atividades de investigação e caça a ameaças.

Pressione o botão Explorar Detecções abaixo para se aprofundar imediatamente em um pacote de conteúdo de detecção voltado para detectar ataques de ransomware BianLian.

Explorar Detecções

Para analisar ataques BianLian retrospectivamente e obter mais contexto sobre a atividade maliciosa ligada ao grupo de ransomware, os profissionais de segurança podem seguir este link para mais conteúdo relacionado. Para simplificar a busca de conteúdo, a SOC Prime oferece suporte à filtragem por tags personalizadas “AA23-136A” e “BianLian” diretamente no Threat Detection Marketplace. 

Além disso, os profissionais de segurança podem usar o Uncoder AI, o primeiro co-piloto de IA do setor para Engenharia de Detecção, para caçar instantaneamente indicadores de comprometimento. O Uncoder AI atua como um empacotador de IOCs, permitindo que os defensores cibernéticos interpretem IOCs sem esforço e gerem consultas de caça personalizadas. Estas consultas podem então ser integradas perfeitamente em seus sistemas SIEM ou EDR preferidos para execução imediata.

Análise de Ataques do BianLian Ransomware Group

Em 20 de novembro de 2024, as principais organizações autoras dos EUA e da Austrália emitiram um novo alerta de cibersegurança AA23-136A alertando a comunidade global de defensores cibernéticos sobre o aumento dos volumes de ataques pelo grupo de ransomware BianLian. O grupo de hackers está envolvido no desenvolvimento, implantação e extorsão de dados de ransomware, operando provavelmente da Rússia, com vários afiliados de ransomware baseados no país.

Desde o início do verão de 2022, o BianLian tem como alvo setores de infraestrutura crítica nos EUA e na Austrália, junto com organizações de serviços profissionais e desenvolvimento imobiliário. Os adversários obtêm acesso aos sistemas-alvo via credenciais RDP válidas, usam utilitários de código aberto para descoberta e captura de credenciais, e exfiltram dados por meio de FTP, Rclone ou Mega. Inicialmente empregando um modelo de dupla extorsão, o grupo mudou para extorsão baseada em exfiltração de dados em janeiro de 2023 e usou exclusivamente este método em janeiro de 2024.

O grupo de ransomware BianLian foca na exploração de aplicativos voltados para o ambiente público em infraestruturas Windows e ESXi, potencialmente usando a cadeia de exploração ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) para obter acesso inicial.

Os adversários também implantam uma backdoor customizada escrita em Go, instalam software de gerenciamento remoto para persistência, e criam ou modificam contas de administrador local. Eles podem usar ferramentas como Ngrok e Rsocks modificados para proxy reverso e tunelamento de rede SOCKS5 para obscurecer o tráfego C2. Além disso, o BianLian foi observado armando o CVE-2022-37969 no Windows 10/11 para elevar privilégios.

O coletivo de hackers aplica uma ampla gama de técnicas para dificultar a detecção. Por exemplo, eles empregam PowerShell e Shell de Comando do Windows para desativar ferramentas antivírus, incluindo o Windows Defender e o AMSI. Eles modificam o Registro do Windows para desativar a proteção contra adulteração de serviços como a Sophos, permitindo que desinstalem esses serviços. Além disso, eles renomeiam binários e tarefas agendadas para se parecerem com serviços ou ferramentas de segurança legítimas do Windows e podem empacotar executáveis com UPX para evitar a detecção.

O grupo BianLian também usa uma mistura de ferramentas compiladas e utilitários nativos do Windows para coletar informações sobre o ambiente da vítima, como o Advanced Port Scanner para identificar portas abertas, SoftPerfect Network Scanner para verificar computadores e descobrir pastas compartilhadas, SharpShares para enumerar compartilhamentos de rede, e PingCastle para enumerar o Active Directory.

Além disso, os adversários exploram contas válidas para movimentação lateral e outras atividades ofensivas. Eles obtêm credenciais buscando dados não seguros em máquinas locais usando o Shell de Comando do Windows, capturam credenciais da memória do LSASS, e baixam ferramentas como o RDP Recognizer para força bruta em senhas RDP ou verificar vulnerabilidades. Notavelmente, os adversários aplicam táticas adicionais para coagir as vítimas a pagarem o resgate, como imprimir notas de resgate em impressoras de rede e fazer ligações telefônicas ameaçadoras para funcionários das organizações-alvo.

O aumento dos volumes de ataques cibernéticos contra os setores de infraestrutura crítica relacionados aos afiliados de ransomware BianLian ligados à Rússia encoraja organizações globais a buscar soluções de segurança viáveis para fortalecer suas defesas. Para minimizar os riscos de ataques de ransomware por atores do grupo BianLian, os defensores recomendam limitar o uso de RDP, desabilitar permissões de linha de comando e script e restringir o acesso ao PowerShell em sistemas Windows. Além disso, aplicar tempestivamente uma estratégia proativa de cibersegurança respaldada por tecnologias de ponta capacita as equipes de segurança a conter efetivamente ameaças emergentes e garantir a robustez futura de sua postura de segurança. A plataforma da SOC Prime para defesa cibernética coletiva equipamentos para organizações de diversos setores industriais com soluções de última geração apoiadas por inteligência contra ameaças baseada na comunidade e IA para salvaguardar proativamente contra os ataques mais sofisticados que representam a maior ameaça para o negócio da organização.