BianLian Ransomware
¿Qué es el ransomware BianLian?
BianLian es un actor de amenazas conocido por operar el ransomware BianLian. Inicialmente, surgió como un troyano bancario de Android en 2019. Al igual que el arte tradicional chino de “cambiar de cara” del que toma su nombre, BianLian ha demostrado una adaptabilidad impresionante. Ha realizado la transición de sus actividades para centrarse en los ataques de ransomware, y apareció por primera vez como una cepa de ransomware en julio de 2022. Este grupo se ha ganado la reputación de desarrollar rápidamente sus tácticas, mejorar su código y diversificar sus métodos de ataque para evadir la detección y contrarrestar medidas defensivas.
Victimología del ransomware BianLian
BianLian ha ampliado su alcance de objetivos. Si bien inicialmente se centró en usuarios individuales cuando operaba como un troyano bancario, su transformación en un ransomware más sofisticado ha llevado a la inclusión de empresas, entidades gubernamentales, instituciones de salud y organizaciones educativas entre sus sectores objetivo.
Sectores objetivo: el grupo muestra un interés particular en sectores que poseen datos confidenciales y la capacidad financiera para cumplir con demandas de rescate sustanciales. Estos sectores abarcan:
- Financial institutions
- Government
- Professional Services
- Manufacturing
- Media & Entertainment
- Healthcare
- Education
- Legal
Malware, Toolset & TTPs
BianLian emplea una estrategia de ataque de varias etapas. Por lo general, obtiene acceso inicial a un sistema de destino a través de correos electrónicos de phishing que contienen archivos adjuntos maliciosos o enlaces a sitios web comprometidos. Una vez dentro, el malware establece comunicación con su servidor de comando y control (C2), obteniendo módulos y herramientas adicionales. Esto le permite aumentar los privilegios y establecer una posición duradera en el sistema comprometido.
Acceso inicial : el acceso inicial de BianLian a las redes a menudo implica la explotación de credenciales de Protocolo de escritorio remoto (RDP) comprometidas, potencialmente obtenidas de intermediarios de acceso inicial o mediante phishing.
Comando y control (C2) : el grupo implementa puertas traseras personalizadas adaptadas a cada víctima, codificadas en Go. También instalan software de acceso y administración remota como TeamViewer, Atera Agent, SplashTop y AnyDesk para mantener la persistencia y administrar el sistema. Además, el grupo crea y activa cuentas de administrador local y modifica sus contraseñas.
Evasión de defensa : BianLian utiliza PowerShell y Windows Command Shell para desactivar las herramientas antivirus, específicamente dirigidas a Windows Defender y Anti-Malware Scan Interface (AMSI).
Descubrimiento : el grupo emplea varias herramientas, que inicialmente descargan en el entorno de la víctima, para recopilar información sobre la red de la víctima. Estas herramientas incluyen Advanced Port Scanner, SoftPerfect Network Scanner (netscan[.]exe), SharpShares y PingCastle. BianLian también aprovecha las herramientas nativas de Windows y el Shell de comandos de Windows para consultar detalles sobre los usuarios que han iniciado sesión, consultar sobre las configuraciones del controlador de dominio y recuperar datos sobre los dispositivos accesibles en la red.
Acceso a credenciales : BianLian utiliza cuentas válidas para el movimiento lateral dentro de la red y para otras actividades de seguimiento. Buscan obtener estas credenciales mediante el uso de Windows Command Shell para buscar credenciales no seguras en la máquina local, recopilar credenciales de la memoria del Servicio del subsistema de autoridad de seguridad local (LSASS), descargar RDP Recognizer en el sistema víctima e intentar acceder a un Active Directory. base de datos de dominio (NTDS.dit).
Persistencia y movimiento lateral : para el movimiento lateral, BianLian emplea herramientas como PsExec y RDP junto con cuentas válidas. Antes de usar RDP, utilizan Command Shell y herramientas nativas de Windows para agregar cuentas de usuario al grupo de usuarios de escritorio remoto local, modificar la contraseña de la cuenta agregada y ajustar las reglas del firewall de Windows para permitir el tráfico RDP entrante.
Indicadores de Compromiso
| IPv4 | 185.81.157.242 |
| http://185.81.157.242:222/c.txt | |
| http://185.81.157.242:222/x.jpg | |
| hxxp://45.12.253[.]107:222/f[.]txt | |
| hxxp://45.12.253[.]107:222/j[.]jpg | |
| http://drippmedsot.mywire.org:6606 | |
| http://drippmedsot.mywire.org:7707 | |
| http://drippmedsot.mywire.org:8808 | |
| drippmedsot.mywire.org | |
| MD5 | 0a80a592d407a2a8b8b318286dc30769 |
| 61b7507a6814e81cda6b57850f9f31da | |
| 750dc2354b0454eafd66900687a0f7d6 | |
| 790562cefbb2c6b9d890b6d2b4adc548 | |
| A31191CA8FE50B0A70EB48B82C4D6F39 | |
| ac12d457d3ee177af8824cdc1de47f2a | |
| b98e76816350a6a527fc311dae62b85e | |
| c09266666ee71ade24e0e5f889cc8199 | |
| SHA1 | 0c4ea19ca95da921329b3d69615a36e49b5ff839 |
| 2b4b9bdbe23d0e0bee5e12a36c430a703c72d307 | |
| 316b99a2bf664ccd94eb050005975c52806d2163 | |
| 3b10e9a10fc90e2a0a28f13a84c9b58eeb382dfc | |
| 43b48bb6cd7838151c1552523b1acb2a95fec4c8 | |
| 921bd5cb08b5c6a77a28e2864417bb8cdefafbf0 | |
| SHA256 | 70029e8693a7a5608b442b1944a3f6c11fe2ff1949f26e3f6178472b87837d75 |
| 8bd0aaa05cfbaaf897461eafb2e69fee035f01970074bbc6e9b6f47dc3962e21 | |
| 9de260716f318fa13874b0e8ad4b54bccb889433e23795d99aa4a47d320b0699 | |
| A0064BDCF92B7C1A55A8E88FD4ECB38D27C4D602F7BF5FEB18C2304D775D7387 | |
| e7bfb2306a89d6a4ea825e7e65e12dca5a86ffd226d20db84a665e7c59666862 | |
| 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3 | |
| 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62 | |
| ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a | |
| 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531 | |
| f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99 | |
| 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807 | |
| 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce | |
| 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08 | |
| 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac |
Recomendaciones
Educar a los usuarios: se debe educar a los usuarios sobre los riesgos del ransomware y sobre cómo identificar y evitar correos electrónicos de phishing, archivos adjuntos maliciosos y otras amenazas. Se les debe alentar a que informen sobre correos electrónicos o archivos adjuntos sospechosos y que eviten abrirlos o hacer clic en enlaces o botones que contengan.
Implementar contraseñas seguras: las organizaciones deben implementar contraseñas seguras y únicas para todas las cuentas de usuario, y deben actualizarlas y rotarlas periódicamente. Las contraseñas deben tener al menos 8 caracteres y deben incluir una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
Habilite la autenticación multifactor: las organizaciones deben habilitar la autenticación multifactor (MFA) para todas las cuentas de usuario, para proporcionar una capa adicional de seguridad. Esto se puede hacer mediante el uso de aplicaciones móviles, como Google Authenticator o Microsoft Authenticator, o mediante el uso de tokens físicos o tarjetas inteligentes.
Actualizar y parchear sistemas: las organizaciones deben actualizar y parchear sus sistemas periódicamente para corregir cualquier vulnerabilidad conocida y evitar que los atacantes las exploten. Esto incluye actualizar el sistema operativo, las aplicaciones y el firmware en todos los dispositivos, así como deshabilitar cualquier servicio o protocolo innecesario o no utilizado.
Implementar copias de seguridad y recuperación ante desastres: las organizaciones deben implementar procesos regulares de copia de seguridad y recuperación ante desastres (BDR) para garantizar que puedan recuperarse de ataques de ransomware u otros desastres. Esto incluye la creación de copias de seguridad periódicas de todos los datos y sistemas, y el almacenamiento de estas copias de seguridad en una ubicación segura fuera del sitio. Las copias de seguridad deben probarse periódicamente para garantizar que funcionan y que se pueden restaurar rápida y fácilmente.
Referencias
https://www.sentinelone.com/anthology/bianlian/
https://cyberint.com/blog/research/bianlian-ransomware-victimology-and-ttps/
https://alestracert.com.mx/bulletin/post/26
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-136a
