Microsoft Kimlik Güvenliğinizdeki boşlukları ortaya çıkarın.
Bugün bir kimlik maruziyeti boşluk analizi için rezervasyon yaptırın.
Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

BianLian

BianLian, sofistike veri sızdırma ve gasp teknikleri yoluyla kritik altyapı sektörlerini hedef almasıyla bilinen bir fidye yazılımı grubudur ve başlangıçta saf veri gaspına geçmeden önce çift gasp modeli kullanmıştır.

BianLian'ın TTP'lerini tespit edin
Kurumunuz BianLian'ın Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

BianLian'ın kökeni

BianLian, Haziran 2022'den beri aktif olan bir fidye yazılımı geliştiricisi, dağıtıcısı ve veri gaspı siber suç grubudur. Başlangıçta, kurbanların sistemlerini şifreleyerek ve verileri dışarı sızdırarak çift haraç modeli uyguladılar. Bununla birlikte, Ocak 2023 civarında, verileri çaldıkları ve fidye ödenmediği takdirde serbest bırakmakla tehdit ettikleri, esas olarak sızma tabanlı gaspa geçtiler. Grup, ABD'nin birçok kritik altyapı sektöründeki kuruluşları ve Avustralya'daki özel işletmeleri hedef almıştır.

BianLian'ın kökeni
Hedefler

BianLian'ın hedefleri

BianLian tarafından hedeflenen ülkeler

BianLian'ın saldırılarının çoğunluğu, saldırıların %57,8'ini oluşturan Amerika Birleşik Devletleri'nde yoğunlaşmaktadır. Diğer önemli hedefler arasında Birleşik Krallık (%10,2), Kanada (%6,8) ve Hindistan (%4,8) bulunmaktadır. Bunlara ek olarak, Avustralya, İsveç, Almanya ve Avusturya gibi ülkeler de daha az oranda da olsa etkilenmiştir. Bu dağılım, grubun sağlam dijital altyapılara ve önemli miktarda değerli veriye sahip gelişmiş ülkelere odaklandığının altını çiziyor.

Kaynak SOCRadar

BianLian tarafından hedeflenen sektörler

BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.

Kaynak: Palo Alto'nun 42. Birimi

BianLian tarafından hedeflenen sektörler

BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.

Kaynak: Palo Alto'nun 42. Birimi

BianLian'ın kurbanları

BianLian, finans, sağlık ve emlak geliştirme sektörlerindeki orta ve büyük ölçekli işletmeler de dahil olmak üzere 425'ten fazla kurbanı hedef almıştır. Grubun güvenliği ihlal edilmiş RDP kimlik bilgilerinden yararlanma ve hassas verileri dışarı sızdırma metodolojisi, etkilenen kuruluşlar için önemli mali ve itibar kaybına yol açmıştır.

Kaynak: Ransomware.live

Saldırı Yöntemi

BianLian'ın saldırı yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

BianLian, genellikle ilk erişim aracılarından veya phishing kampanyaları aracılığıyla elde edilen, güvenliği ihlal edilmiş Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ilk erişimi elde eder. Ayrıca uzaktan erişim hizmetlerindeki güvenlik açıklarından da yararlanırlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Grup, yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek ağın daha fazla istismar edilmesini sağlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

PowerShell ve Windows Komut Kabuğu kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakır, tespit edilmemek için kayıt defterini değiştirirler.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

BianLian, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğinden kimlik bilgilerini toplar ve çeşitli komut satırı araçlarını kullanarak yerel makinede güvenli olmayan kimlik bilgilerini arar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçları kullanan BianLian, değerli hedefleri belirlemek için kapsamlı bir ağ ve aktif dizin keşfi gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Grup, ağ içinde yanal olarak hareket etmek için geçerli kimlik bilgileriyle PsExec ve RDP gibi araçları kullanarak Netlogon güvenlik açığı (CVE-2020-1472) gibi güvenlik açıklarından yararlanıyor.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

BianLian, kayıt defterini ve dosyaları numaralandırmak için malware adresini kullanır ve şantaj için hassas bilgileri toplamak üzere pano verilerini kopyalar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Özel arka kapılar yerleştirirler ve ele geçirilen sistemler üzerinde kalıcılığı ve kontrolü sağlamak için meşru uzaktan erişim yazılımları (örneğin TeamViewer, Atera Agent) kullanırlar.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler, Dosya Aktarım Protokolü (FTP), Rclone veya Mega kullanılarak dışarı sızdırılır ve hassas dosyalar, gasp girişimlerinde daha fazla yararlanmak için bulut depolama hizmetlerine yüklenir.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Grup, fidye ödenmediği takdirde dışarı sızan verileri serbest bırakmakla tehdit ederek veri gaspına yöneliyor. Ağ yazıcılarına fidye notları yazdırmak ve kurbanlara tehdit telefonları açmak gibi taktikler kullanmışlardır.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

BianLian, genellikle ilk erişim aracılarından veya phishing kampanyaları aracılığıyla elde edilen, güvenliği ihlal edilmiş Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ilk erişimi elde eder. Ayrıca uzaktan erişim hizmetlerindeki güvenlik açıklarından da yararlanırlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Grup, yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek ağın daha fazla istismar edilmesini sağlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

PowerShell ve Windows Komut Kabuğu kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakır, tespit edilmemek için kayıt defterini değiştirirler.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

BianLian, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğinden kimlik bilgilerini toplar ve çeşitli komut satırı araçlarını kullanarak yerel makinede güvenli olmayan kimlik bilgilerini arar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçları kullanan BianLian, değerli hedefleri belirlemek için kapsamlı bir ağ ve aktif dizin keşfi gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Grup, ağ içinde yanal olarak hareket etmek için geçerli kimlik bilgileriyle PsExec ve RDP gibi araçları kullanarak Netlogon güvenlik açığı (CVE-2020-1472) gibi güvenlik açıklarından yararlanıyor.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

BianLian, kayıt defterini ve dosyaları numaralandırmak için malware adresini kullanır ve şantaj için hassas bilgileri toplamak üzere pano verilerini kopyalar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Özel arka kapılar yerleştirirler ve ele geçirilen sistemler üzerinde kalıcılığı ve kontrolü sağlamak için meşru uzaktan erişim yazılımları (örneğin TeamViewer, Atera Agent) kullanırlar.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler, Dosya Aktarım Protokolü (FTP), Rclone veya Mega kullanılarak dışarı sızdırılır ve hassas dosyalar, gasp girişimlerinde daha fazla yararlanmak için bulut depolama hizmetlerine yüklenir.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Grup, fidye ödenmediği takdirde dışarı sızan verileri serbest bırakmakla tehdit ederek veri gaspına yöneliyor. Ağ yazıcılarına fidye notları yazdırmak ve kurbanlara tehdit telefonları açmak gibi taktikler kullanmışlardır.

MITRE ATT&CK Haritalama

BianLian tarafından kullanılan TTP'ler

BianLian, MITRE ATT&CK çerçevesiyle uyumlu çeşitli TTP'ler kullanmaktadır. Temel TTP'lerden bazıları şunlardır:

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1069
Permission Groups Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

BianLian ile Nasıl Tespit Edilir Vectra AI

Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

BianLian'ın ilk erişimi elde etmek için kullandığı birincil yöntem nedir?

BianLian öncelikle, genellikle phishing adresinden veya ilk erişim aracılarından elde edilen, güvenliği ihlal edilmiş RDP kimlik bilgileri aracılığıyla ilk erişimi elde eder.

BianLian tespit edilmekten nasıl kaçıyor?

PowerShell kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakırlar ve tespit edilmemek için Windows Kayıt Defterini değiştirirler.

BianLian'ın ana hedefleri nelerdir?

BianLian, ABD'de kritik altyapı sektörlerini ve Avustralya'da sağlık hizmetleri, finansal hizmetler ve emlak geliştirme gibi sektörler de dahil olmak üzere özel işletmeleri hedeflemektedir.

BianLian verileri nasıl dışarı sızdırıyor?

BianLian FTP, Rclone veya Mega kullanarak veri sızdırır ve hassas dosyaları bulut depolama hizmetlerine yükler.

BianLian 2023'te gasp taktiklerinde ne gibi değişiklikler yaptı?

BianLian, 2023'te kurbanların sistemlerini şifrelemek yerine, para ödenmediği takdirde çalınan verileri yayınlamakla tehdit ederek sızma tabanlı şantaja odaklandı.

BianLian ağ keşfi için hangi araçları kullanıyor?

Bir ağ içindeki değerli hedefleri belirlemek için Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçlar kullanırlar.

BianLian bir ağ içinde ayrıcalıkları nasıl artırır?

BianLian yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek daha fazla istismarı kolaylaştırır.

BianLian yanal hareket için hangi yöntemleri kullanıyor?

BianLian, ağ üzerinde yanal hareket için geçerli kimlik bilgileriyle PsExec ve RDP kullanır.

Kuruluşlar BianLian'ın taktiklerine karşı nasıl korunabilir?

Uzaktan erişim araçları üzerinde sıkı kontroller uygulayın, gereksiz hizmetleri devre dışı bırakın, güçlü parola politikaları uygulayın ve düzenli yazılım güncellemeleri ve yamaları sağlayın.

XDR çözümleri BianLian'a karşı savunmada nasıl bir rol oynayabilir?

XDR çözümleri, uç noktalar, ağlar ve bulut ortamlarındaki şüpheli etkinlikleri tespit edip azaltarak kapsamlı görünürlük ve otomatik yanıt yetenekleri sağlayarak yardımcı olabilir.

Kurumunuz BianLian'ın Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin