BianLian
BianLian, sofistike veri sızdırma ve gasp teknikleri yoluyla kritik altyapı sektörlerini hedef almasıyla bilinen bir fidye yazılımı grubudur ve başlangıçta saf veri gaspına geçmeden önce çift gasp modeli kullanmıştır.
BianLian'ın kökeni
BianLian, muhtemelen Rusya dışında faaliyet gösteren ve aynı bölgede birden fazla bağlı kuruluşu bulunan bir fidye yazılımı ve veri gasp grubudur. Grup Haziran 2022'den beri aktiftir ve başlangıçta veri hırsızlığı ile dosya şifrelemeyi birleştiren çift gasp modeli kullanmıştır. Ancak, Ocak 2024 itibarıyla BianLian tamamen sadece dosya hırsızlığı modeline geçmiştir. Artık yalnızca veri çalmaya ve kamuya ifşa edilmesini önlemek için ödeme talep etmeye odaklanıyorlar, artık kurbanların sistemlerini şifrelemiyorlar. Muhtemelen konumu yanlış atfetmek için seçilen isimleri, atıf çabalarını karmaşıklaştırma girişimlerini yansıtmaktadır.
BianLian tarafından hedeflenen ülkeler
BianLian'ın saldırılarının çoğunluğu, saldırıların %57,8'ini oluşturan Amerika Birleşik Devletleri'nde yoğunlaşmaktadır. Diğer önemli hedefler arasında Birleşik Krallık (%10,2), Kanada (%6,8) ve Hindistan (%4,8) bulunmaktadır. Bunlara ek olarak, Avustralya, İsveç, Almanya ve Avusturya gibi ülkeler de daha az oranda da olsa etkilenmiştir. Bu dağılım, grubun sağlam dijital altyapılara ve önemli miktarda değerli veriye sahip gelişmiş ülkelere odaklandığının altını çiziyor.
BianLian tarafından hedeflenen sektörler
BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.
Kaynak: Palo Alto'nun 42. Birimi
BianLian'ın kurbanları
BianLian, finans, sağlık ve emlak geliştirme sektörlerindeki orta ve büyük ölçekli işletmeler de dahil olmak üzere 522'den fazla kurbanı hedef almıştır. Grubun güvenliği ihlal edilmiş RDP kimlik bilgilerinden yararlanma ve hassas verileri dışarı sızdırma metodolojisi, etkilenen kuruluşlar için önemli mali ve itibar kaybına yol açmıştır.
BianLian'ın saldırı yöntemi
BianLian, phishing adresinden veya ilk erişim aracılarından elde edilen tehlikeye atılmış Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ağlara erişim kazanır. Ayrıca ProxyShell güvenlik açıkları (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) gibi halka açık uygulamalardaki güvenlik açıklarından da yararlanırlar.
Windows sistemlerinde ayrıcalıkları artırmak için CVE-2022-37969 gibi güvenlik açıklarından yararlanırlar.
Grup, PowerShell ve kayıt defteri değişikliklerini kullanarak Windows Defender ve Sophos sabotaj koruması dahil olmak üzere antivirüs araçlarını devre dışı bırakıyor. Ayrıca malware adresini gizlemek için UPX paketlemesini kullanıyorlar.
BianLian aktörleri, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğini boşaltarak ve dosyalarda depolanan düz metin kimlik bilgilerini arayarak kimlik bilgilerini çalar.
Advanced Port Scanner ve SharpShares gibi araçları kullanarak, hedefin ortamını haritalamak için ağ hizmetlerini, paylaşılan klasörleri ve etki alanı hesaplarını listelerler.
Ağlar içinde yanal hareket için RDP, PsExec ve Sunucu Mesaj Bloğu (SMB) bağlantılarını kullanırlar.
Hassas veriler, dışarı sızma için hazırlanmadan önce tanımlanır, sıkıştırılır ve şifrelenir.
Veriler FTP, Rclone veya Mega kullanılarak çalınır. Daha önceki operasyonlarının aksine, artık uç nokta verilerini şifrelemiyorlar.
BianLian'ın operasyonları, çalınan verileri kamuya sızdırmakla tehdit ettikleri ve fidye ödemelerini talep etmek için kurbanın itibar, mali ve yasal sonuçlardan duyduğu korkuyu kullandıkları şantajla doruğa ulaşıyor.
BianLian, phishing adresinden veya ilk erişim aracılarından elde edilen tehlikeye atılmış Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ağlara erişim kazanır. Ayrıca ProxyShell güvenlik açıkları (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) gibi halka açık uygulamalardaki güvenlik açıklarından da yararlanırlar.
Windows sistemlerinde ayrıcalıkları artırmak için CVE-2022-37969 gibi güvenlik açıklarından yararlanırlar.
Grup, PowerShell ve kayıt defteri değişikliklerini kullanarak Windows Defender ve Sophos sabotaj koruması dahil olmak üzere antivirüs araçlarını devre dışı bırakıyor. Ayrıca malware adresini gizlemek için UPX paketlemesini kullanıyorlar.
BianLian aktörleri, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğini boşaltarak ve dosyalarda depolanan düz metin kimlik bilgilerini arayarak kimlik bilgilerini çalar.
Advanced Port Scanner ve SharpShares gibi araçları kullanarak, hedefin ortamını haritalamak için ağ hizmetlerini, paylaşılan klasörleri ve etki alanı hesaplarını listelerler.
Ağlar içinde yanal hareket için RDP, PsExec ve Sunucu Mesaj Bloğu (SMB) bağlantılarını kullanırlar.
Hassas veriler, dışarı sızma için hazırlanmadan önce tanımlanır, sıkıştırılır ve şifrelenir.
Veriler FTP, Rclone veya Mega kullanılarak çalınır. Daha önceki operasyonlarının aksine, artık uç nokta verilerini şifrelemiyorlar.
BianLian'ın operasyonları, çalınan verileri kamuya sızdırmakla tehdit ettikleri ve fidye ödemelerini talep etmek için kurbanın itibar, mali ve yasal sonuçlardan duyduğu korkuyu kullandıkları şantajla doruğa ulaşıyor.
BianLian tarafından kullanılan TTP'ler
BianLian ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi:
Sıkça Sorulan Sorular
BianLian'ın ilk erişimi elde etmek için kullandığı birincil yöntem nedir?
BianLian öncelikle, genellikle phishing adresinden veya ilk erişim aracılarından elde edilen, güvenliği ihlal edilmiş RDP kimlik bilgileri aracılığıyla ilk erişimi elde eder.
BianLian tespit edilmekten nasıl kaçıyor?
PowerShell kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakırlar ve tespit edilmemek için Windows Kayıt Defterini değiştirirler.
BianLian'ın ana hedefleri nelerdir?
BianLian, ABD'de kritik altyapı sektörlerini ve Avustralya'da sağlık hizmetleri, finansal hizmetler ve emlak geliştirme gibi sektörler de dahil olmak üzere özel işletmeleri hedeflemektedir.
BianLian verileri nasıl dışarı sızdırıyor?
BianLian FTP, Rclone veya Mega kullanarak veri sızdırır ve hassas dosyaları bulut depolama hizmetlerine yükler.
BianLian 2023'te gasp taktiklerinde ne gibi değişiklikler yaptı?
BianLian, 2023'te kurbanların sistemlerini şifrelemek yerine, para ödenmediği takdirde çalınan verileri yayınlamakla tehdit ederek sızma tabanlı şantaja odaklandı.
BianLian ağ keşfi için hangi araçları kullanıyor?
Bir ağ içindeki değerli hedefleri belirlemek için Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçlar kullanırlar.
BianLian bir ağ içinde ayrıcalıkları nasıl artırır?
BianLian yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek daha fazla istismarı kolaylaştırır.
BianLian yanal hareket için hangi yöntemleri kullanıyor?
BianLian, ağ üzerinde yanal hareket için geçerli kimlik bilgileriyle PsExec ve RDP kullanır.
Kuruluşlar BianLian'ın taktiklerine karşı nasıl korunabilir?
Uzaktan erişim araçları üzerinde sıkı kontroller uygulayın, gereksiz hizmetleri devre dışı bırakın, güçlü parola politikaları uygulayın ve düzenli yazılım güncellemeleri ve yamaları sağlayın.
XDR çözümleri BianLian'a karşı savunmada nasıl bir rol oynayabilir?
XDR çözümleri, uç noktalar, ağlar ve bulut ortamlarındaki şüpheli etkinlikleri tespit edip azaltarak kapsamlı görünürlük ve otomatik yanıt yetenekleri sağlayarak yardımcı olabilir.