Το BianLian εμφανίστηκε το 2022 και μετά την ταχεία εμφάνισή του, έγινε μία από τις τρεις πιο ενεργές ομάδες ransomware, που ξεκίνησαν τις δραστηριότητές τους εκμεταλλευόμενες τις ευπάθειες RDP, ProxyShell και SonicWall VPN.
Δείτε επίσης: Η Rite Aid επιβεβαιώνει παραβίαση δεδομένων μετά την επίθεση ransomware
Οι ερευνητές κυβερνοασφάλειας στο Juniper, επιβεβαίωσαν ότι οι χειριστές αυτής της ομάδας ransomware εκμεταλλεύονται τα διαπιστευτήρια RDP για την αρχική πρόσβαση, χρησιμοποιώντας προσαρμοσμένο κακόβουλο λογισμικό Go και τεχνικές live off-the-land.
Στις αρχές του 2023, αφού η Avast κυκλοφόρησε έναν αποκρυπτογραφητή, η δράση του ransomware μετατοπίστηκε από την κρυπτογράφηση ή τον διπλό εκβιασμό στην απλή κλοπή και εκβιασμό.
BianLian Ransomware Leveraging RDP Credentials
Μέχρι τον Μάιο του 2023, οι αναρτήσεις θυμάτων είχαν κορυφωθεί, προτού μειωθούν λόγω της βελτιωμένης άμυνας και της προσοχής των αρχών επιβολής του νόμου.
Αλλά στις αρχές του 2024 παρατηρήθηκε μια αναζωπύρωση με περισσότερα από ενενήντα νέα θύματα, αποδεικνύοντας την ανθεκτικότητα και την προσαρμοστικότητα της BianLian στο πεδίο του ransomware.
Δείτε ακόμα: HardBit Ransomware 4.0: Νέες τεχνικές αποφυγής εντοπισμού
Η στρατηγική της BianLian για το 2024 βασίστηκε στην επιλογή βιομηχανιών υψηλής αξίας, με τις νομικές υπηρεσίες (23,7%) και την υγειονομική περίθαλψη να βρίσκονται στην πρώτη γραμμή λόγω της ευπάθειας τους σε τέτοια δεδομένα.
Στα μέσα Ιανουαρίου, η BianLian γνώρισε μια απότομη αύξηση των παραγόντων απειλών που εμπλέκονται στην υποδομή C2 της, καθώς ανέπτυξαν περισσότερους από δεκαπέντε νέους διακομιστές μέσα σε είκοσι τέσσερις ώρες.
Αυτή η τάση στις δραστηριότητες υποδομής C2 συνέβη παράλληλα με την αύξηση των αναρτήσεων θυμάτων, η οποία συνέπεσε με την παραβίαση των διακομιστών TeamCity από hackers και την επακόλουθη ανάπτυξη ενός backdoor toolkit που βασίζεται στο PowerShell από την ομάδα.
Οι εκστρατείες ransomware αυτού του χειριστή τόνισαν την ικανότητά του να προσαρμόζεται στα θύματα διαφορετικών τομέων και το στρατηγικό χρονοδιάγραμμα της επέκτασης της υποδομής.
Η υποδομή C2 της BianLian το 2023-2024 αποκαλύπτει στρατηγική ποικιλία. Κυρίως, χρησιμοποιούν 443 θύρες (18,59%) και 8443 (9,94%) για την επισκεψιμότητα HTTPS, ακολουθούμενες από το 46,47% που εφαρμόζουν άλλες αποκλίνουσες θύρες για να αποφύγουν τον εντοπισμό.
Δείτε επίσης: Κομητεία της Ιντιάνα δέχτηκε καταστροφική επίθεση Ransomware
Ο μετριασμός του ransomware, όπως το BianLian που εκμεταλλεύεται διαπιστευτήρια RDP, περιλαμβάνει έναν συνδυασμό προληπτικών μέτρων και ενεργειών για την προστασία των συστημάτων από αυτήν την εξελισσόμενη απειλή. Η τακτική ενημέρωση και επιδιόρθωση λογισμικού μπορεί να κλείσει τα τρωτά σημεία που εκμεταλλεύεται το ransomware. Επιπλέον, η εφαρμογή ισχυρού φιλτραρίσματος email και η εκπαίδευση των εργαζομένων σχετικά με τις επιθέσεις phishing συμβάλλουν στην αποφυγή της αρχικής εισβολής. Τα τακτικά αντίγραφα ασφαλείας, αποθηκευμένα εκτός σύνδεσης ή σε ασφαλές περιβάλλον cloud, είναι ζωτικής σημασίας για την ανάκτηση δεδομένων σε περίπτωση επίθεσης. Η χρήση προηγμένων λύσεων ασφαλείας όπως τα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR) μπορεί να ανιχνεύσει και να περιέχει ransomware προτού εξαπλωθεί. Τέλος, η ανάπτυξη ενός ισχυρού σχεδίου αντιμετώπισης περιστατικών επιτρέπει στους οργανισμούς να αντιδρούν γρήγορα και αποτελεσματικά, ελαχιστοποιώντας τον αντίκτυπο ενός περιστατικού ransomware.
Πηγή: cybersecuritynews
