BianLian
BianLian, sofistike veri sızdırma ve gasp teknikleri yoluyla kritik altyapı sektörlerini hedef almasıyla bilinen bir fidye yazılımı grubudur ve başlangıçta saf veri gaspına geçmeden önce çift gasp modeli kullanmıştır.
BianLian'ın kökeni
BianLian, muhtemelen Rusya dışında faaliyet gösteren ve aynı bölgede birden fazla bağlı kuruluşu bulunan bir fidye yazılımı ve veri gasp grubudur. Grup Haziran 2022'den beri aktiftir ve başlangıçta veri hırsızlığı ile dosya şifrelemeyi birleştiren çift gasp modeli kullanmıştır. Ancak, Ocak 2024 itibarıyla BianLian tamamen sadece dosya hırsızlığı modeline geçmiştir. Artık yalnızca veri çalmaya ve kamuya ifşa edilmesini önlemek için ödeme talep etmeye odaklanıyorlar, artık kurbanların sistemlerini şifrelemiyorlar. Muhtemelen konumu yanlış atfetmek için seçilen isimleri, atıf çabalarını karmaşıklaştırma girişimlerini yansıtmaktadır.
Hedefler
BianLian'ın hedefleri
BianLian tarafından hedeflenen ülkeler
BianLian'ın saldırılarının çoğunluğu, saldırıların %57,8'ini oluşturan Amerika Birleşik Devletleri'nde yoğunlaşmaktadır. Diğer önemli hedefler arasında Birleşik Krallık (%10,2), Kanada (%6,8) ve Hindistan (%4,8) bulunmaktadır. Bunlara ek olarak, Avustralya, İsveç, Almanya ve Avusturya gibi ülkeler de daha az oranda da olsa etkilenmiştir. Bu dağılım, grubun sağlam dijital altyapılara ve önemli miktarda değerli veriye sahip gelişmiş ülkelere odaklandığının altını çiziyor.
Kaynak: Ransomware.live
BianLian tarafından hedeflenen sektörler
BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.
Kaynak: Palo Alto'nun 42. Birimi
BianLian tarafından hedeflenen sektörler
BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.
Kaynak: Palo Alto'nun 42. Birimi
BianLian'ın kurbanları
BianLian, finans, sağlık ve emlak geliştirme sektörlerindeki orta ve büyük ölçekli işletmeler de dahil olmak üzere 508'den fazla kurbanı hedef almıştır. Grubun güvenliği ihlal edilmiş RDP kimlik bilgilerinden yararlanma ve hassas verileri dışarı sızdırma metodolojisi, etkilenen kuruluşlar için önemli mali ve itibar kaybına yol açmıştır.
Kaynak: Ransomware.live
Saldırı Yöntemi
BianLian'ın saldırı yöntemi
BianLian, phishing adresinden veya ilk erişim aracılarından elde edilen tehlikeye atılmış Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ağlara erişim kazanır. Ayrıca ProxyShell güvenlik açıkları (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) gibi halka açık uygulamalardaki güvenlik açıklarından da yararlanırlar.
Windows sistemlerinde ayrıcalıkları artırmak için CVE-2022-37969 gibi güvenlik açıklarından yararlanırlar.
Grup, PowerShell ve kayıt defteri değişikliklerini kullanarak Windows Defender ve Sophos sabotaj koruması dahil olmak üzere antivirüs araçlarını devre dışı bırakıyor. Ayrıca malware adresini gizlemek için UPX paketlemesini kullanıyorlar.
BianLian aktörleri, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğini boşaltarak ve dosyalarda depolanan düz metin kimlik bilgilerini arayarak kimlik bilgilerini çalar.
Advanced Port Scanner ve SharpShares gibi araçları kullanarak, hedefin ortamını haritalamak için ağ hizmetlerini, paylaşılan klasörleri ve etki alanı hesaplarını listelerler.
Ağlar içinde yanal hareket için RDP, PsExec ve Sunucu Mesaj Bloğu (SMB) bağlantılarını kullanırlar.
Hassas veriler, dışarı sızma için hazırlanmadan önce tanımlanır, sıkıştırılır ve şifrelenir.
Veriler FTP, Rclone veya Mega kullanılarak çalınır. Daha önceki operasyonlarının aksine, artık uç nokta verilerini şifrelemiyorlar.
BianLian'ın operasyonları, çalınan verileri kamuya sızdırmakla tehdit ettikleri ve fidye ödemelerini talep etmek için kurbanın itibar, mali ve yasal sonuçlardan duyduğu korkuyu kullandıkları şantajla doruğa ulaşıyor.
İlk Erişim
BianLian, phishing adresinden veya ilk erişim aracılarından elde edilen tehlikeye atılmış Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ağlara erişim kazanır. Ayrıca ProxyShell güvenlik açıkları (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) gibi halka açık uygulamalardaki güvenlik açıklarından da yararlanırlar.
Ayrıcalık Yükseltme
Windows sistemlerinde ayrıcalıkları artırmak için CVE-2022-37969 gibi güvenlik açıklarından yararlanırlar.
Savunma Kaçırma
Grup, PowerShell ve kayıt defteri değişikliklerini kullanarak Windows Defender ve Sophos sabotaj koruması dahil olmak üzere antivirüs araçlarını devre dışı bırakıyor. Ayrıca malware adresini gizlemek için UPX paketlemesini kullanıyorlar.
Kimlik Bilgileri Erişimi
BianLian aktörleri, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğini boşaltarak ve dosyalarda depolanan düz metin kimlik bilgilerini arayarak kimlik bilgilerini çalar.
Keşif
Advanced Port Scanner ve SharpShares gibi araçları kullanarak, hedefin ortamını haritalamak için ağ hizmetlerini, paylaşılan klasörleri ve etki alanı hesaplarını listelerler.
Yanal Hareket
Ağlar içinde yanal hareket için RDP, PsExec ve Sunucu Mesaj Bloğu (SMB) bağlantılarını kullanırlar.
Koleksiyon
Hassas veriler, dışarı sızma için hazırlanmadan önce tanımlanır, sıkıştırılır ve şifrelenir.
Yürütme
Sızma
Veriler FTP, Rclone veya Mega kullanılarak çalınır. Daha önceki operasyonlarının aksine, artık uç nokta verilerini şifrelemiyorlar.
Etki
BianLian'ın operasyonları, çalınan verileri kamuya sızdırmakla tehdit ettikleri ve fidye ödemelerini talep etmek için kurbanın itibar, mali ve yasal sonuçlardan duyduğu korkuyu kullandıkları şantajla doruğa ulaşıyor.
MITRE ATT&CK Haritalama
BianLian tarafından kullanılan TTP'ler
BianLian, MITRE ATT&CK çerçevesiyle uyumlu çeşitli TTP'ler kullanmaktadır. Temel TTP'lerden bazıları şunlardır:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri
BianLian ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi:
Sıkça Sorulan Sorular
BianLian'ın ilk erişimi elde etmek için kullandığı birincil yöntem nedir?
BianLian öncelikle, genellikle phishing adresinden veya ilk erişim aracılarından elde edilen, güvenliği ihlal edilmiş RDP kimlik bilgileri aracılığıyla ilk erişimi elde eder.
BianLian tespit edilmekten nasıl kaçıyor?
PowerShell kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakırlar ve tespit edilmemek için Windows Kayıt Defterini değiştirirler.
BianLian'ın ana hedefleri nelerdir?
BianLian, ABD'de kritik altyapı sektörlerini ve Avustralya'da sağlık hizmetleri, finansal hizmetler ve emlak geliştirme gibi sektörler de dahil olmak üzere özel işletmeleri hedeflemektedir.
BianLian verileri nasıl dışarı sızdırıyor?
BianLian FTP, Rclone veya Mega kullanarak veri sızdırır ve hassas dosyaları bulut depolama hizmetlerine yükler.
BianLian 2023'te gasp taktiklerinde ne gibi değişiklikler yaptı?
BianLian, 2023'te kurbanların sistemlerini şifrelemek yerine, para ödenmediği takdirde çalınan verileri yayınlamakla tehdit ederek sızma tabanlı şantaja odaklandı.
BianLian ağ keşfi için hangi araçları kullanıyor?
Bir ağ içindeki değerli hedefleri belirlemek için Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçlar kullanırlar.
BianLian bir ağ içinde ayrıcalıkları nasıl artırır?
BianLian yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek daha fazla istismarı kolaylaştırır.
BianLian yanal hareket için hangi yöntemleri kullanıyor?
BianLian, ağ üzerinde yanal hareket için geçerli kimlik bilgileriyle PsExec ve RDP kullanır.
Kuruluşlar BianLian'ın taktiklerine karşı nasıl korunabilir?
Uzaktan erişim araçları üzerinde sıkı kontroller uygulayın, gereksiz hizmetleri devre dışı bırakın, güçlü parola politikaları uygulayın ve düzenli yazılım güncellemeleri ve yamaları sağlayın.
XDR çözümleri BianLian'a karşı savunmada nasıl bir rol oynayabilir?
XDR çözümleri, uç noktalar, ağlar ve bulut ortamlarındaki şüpheli etkinlikleri tespit edip azaltarak kapsamlı görünürlük ve otomatik yanıt yetenekleri sağlayarak yardımcı olabilir.