Detecção de Ransomware BianLian: Pagar ou Não Pagar?
Índice:
Adversários por trás do ransomware BianLian multiplataforma têm como alvo empresas na Austrália, América do Norte e Reino Unido, atacando múltiplas indústrias, incluindo mídia e entretenimento, saúde, educação e manufatura.
A cepa do ransomware surgiu pela primeira vez em dezembro de 2021 e, de acordo com relatórios recentes, está atualmente em desenvolvimento ativo. A BianLian Ransomware Gang já comprometeu pelo menos 20 empresas; no entanto, os números reais são provavelmente maiores, dado que as vítimas que pagaram o resgate não estão listadas no site de vazamento de dados dos adversários no Tor.
Detectar Ransomware BianLian
Para identificar comportamentos associados ao ransomware BianLian, utilize o seguinte conteúdo de detecção de ameaças lançado pelo experiente colaborador de Threat Bounty Aytek Aytemur:
A regra Sigma está alinhada com o framework MITRE ATT&CK® v.10 e possui traduções para 26 plataformas SIEM, EDR & XDR.
Arriscando soar como um disco arranhado, queremos enfatizar a importância primordial da prevenção e detecção de ameaças em tempo hábil. Fortaleça sua postura de segurança utilizando conteúdo de detecção de ameaças verificado, busque facilmente ameaças relacionadas e mergulhe instantaneamente em metadados contextuais, como referências CTI e ATT&CK. Pressione o Explorar Contexto de Ameaças botão e aprofundar-se nos resultados de busca relevantes usando o Search Engine de Cyber Threats da SOC Prime.
Descrição do Ransomware BianLian
Escrito em Go, o ransomware BianLian é projetado para comprometer dispositivos VPN SonicWall e o Microsoft Exchange Server vulnerabilidades ProxyShell. O ator do ransomware emprega técnicas sofisticadas para invadir sistemas e mover-se lateralmente sem ser detectado, apesar de ser um novo jogador no cenário de ransomware. Após os exploits, os atacantes buscam cargas maliciosas de um servidor remoto e as executam. Além disso, pesquisadores relatam casos de tempos de permanência prolongados em todos os ataques detalhados.
Os dados de pesquisa indicam investimento dos operadores de ransomware em novos servidores C&C, garantindo que a campanha esteja ganhando força rapidamente.
O ransomware baseado em Golang está aumentando em popularidade, e pesquisadores de segurança preveem que veremos um aumento constante de ataques aproveitando esse tipo de malware em um futuro próximo. A alta demanda pode ser explicada pela versatilidade do código (uma vez escrito, o malware pode ser usado em diferentes sistemas operacionais) e a proeminente furtividade das peças de malware baseadas em Go.
O ransomware continua a ser uma das fontes de renda mais lucrativas para muitos agentes de ameaças em 2022. Com ataques motivados financeiramente paralisando os fluxos diários de empresas e impondo pressões financeiras devastadoras sobre seus alvos, a melhor opção é armar-se com as melhores soluções específicas da indústria disponíveis – não importa o tamanho ou o ramo do seu negócio. Junte-se à plataforma Detection as Code da SOC Prime para desbloquear acesso ao maior pool de conteúdo de detecção do mundo, criado por especialistas respeitáveis na área. Tenha certeza de que você não perderá nenhuma atualização essencial, já que nossos especialistas em SOC se esforçam para publicar todas as detecções mais recentes, mantendo uma resposta rápida às últimas ameaças.
