BianLian Ransomware Group

Algunos avisos de seguridad emitidos tanto por FBI como la CISA se ha detectado un grupo de cibercriminales denominado Bian Lian que han utilizado ransomware para afectar a distintas organizaciones en múltiples rubros de la industria, estas actividades han estado presentes y aumentando desde junio del 2022.

¿Cómo es que operan?
De forma basica utilizan el protocolo de comunicación RDP con el fin de conseguir el acceso a travez de credenciales robadas utilizando técnicas como phishing.
Para realizar en si las actividades, utilizan herramientas open source y aplican distintos códigos para efectuar el descubrimiento y recolección de credenciales, luego se extraen utilizando protocoles de FTP o plataformas de almacenamiento y trasferencias de archivos (Mega, Redclone).
Este año 2023, el FBI detectó un cambio en su forma de extorsionar a las víctimas, ahora ellos extraen la información sin cifrar los archivos pero los extorsionan diciéndoles que tendrán problemas financieros, empresariales y legales si no efectúan el pago solicitado.
Otro mecanismo de extorsión y seguimiento utilizado por este grupo consistía en imprimir las notas de rescate en distintas impresoras de la compañía comprometida, además de efectuar llamados telefónicos a los empleados insistiendoles y amenazándolos para que efectuaran el pago correspondiente de la información comprometida. Para mantener la persistencia en el equipo infectado implantan una backdoor personalizada para cada víctima escrita en Go e instalan software de acceso y administración remota como AnyDesk, TeamViewer, Atera Agent, SplashTop, entre otros.



Descubrimiento y exploración
BianLian utiliza una combinación de herramientas compiladas, que su primera acción es descargarse en el equipo afectado, con ella efectúan un reconocimiento del entorno de la siguiente manera:
• Efectúa un escaneo de red a fin de encontrar puertos abiertos y sus respectivas versiones.
• Efectúan pruebas de ping con otros ordenadores de la red detectando puertos y carpetas compartidas.
• Enumeran los recursos compartidos accesibles en un dominio.
• Enumeran directorios de Active Directory (AD), detectando la jerarquía y relaciones de confianza entre los equipos.

Adicionalmente a esto, utilizan herramientas nativas de Windows para pasar desapercibidos y obtener los siguientes datos:
• Usuarios conectados en tiempo real.
• Controladores de dominio existentes.
• Recuperan un listado con todos los controladores de dominio.
• Identifican los dispositivos accesibles en red.

El cifrador utilizado por los ciber actores (encryptor[.]exe) modifica los archivos cifrados agregando la extensión ([.]bianlian) y crea una nota de rescate (Look at this instructions[.]txt) en cada directorio afectado.



En el caso que la víctima se niegue a pagar el rescate el grupo BianLian los amenaza con publicar los datos filtrados en la red Tor. La nota de rescate también contiene un enlace para comunicarse con los ciber actores a través del Chat Tox, proporcionándoles un ID específico a cada una de las víctimas. A continuación, se visualiza una imagen del Chat Tox utilizado por los ciber actores.



 

Versiones Afectadas

N/A

Recomendaciones

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.

Indicadores de compromiso
def.exe
7b15f570a23a5c5ce8ff942da60834a9d0549ea3ea9f34f900a09331325df893
- Malware associated with BianLian intrusions, which is an example of a possible backdoor developed by BianLian group.

encryptor.exe
1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
- E​​​​​​xample of a BianLian encryptor.

exp.exe
0c1eb11de3a533689267ba075e49d93d55308525c04d6aff0d2c54d1f52f5500
- Possible NetLogon vulnerability (CVE-2020-1472) exploitation.

system.exe
40126ae71b857dd22db39611c25d3d5dd0e60316b72830e930fba9baf23973ce
- Enumerates registry and files. Reads clipboard data.

Adicional es sumamente importante considerar lo siguiente; seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Referencias

Fuente CISA: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-136a

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios