BianLian, sofistike veri sızdırma ve gasp teknikleri yoluyla kritik altyapı sektörlerini hedef almasıyla bilinen bir fidye yazılımı grubudur ve başlangıçta saf veri gaspına geçmeden önce çift gasp modeli kullanmıştır.
BianLian, Haziran 2022'den beri aktif olan bir fidye yazılımı geliştiricisi, dağıtıcısı ve veri gaspı siber suç grubudur. Başlangıçta, kurbanların sistemlerini şifreleyerek ve verileri dışarı sızdırarak çift haraç modeli uyguladılar. Bununla birlikte, Ocak 2023 civarında, verileri çaldıkları ve fidye ödenmediği takdirde serbest bırakmakla tehdit ettikleri, esas olarak sızma tabanlı gaspa geçtiler. Grup, ABD'nin birçok kritik altyapı sektöründeki kuruluşları ve Avustralya'daki özel işletmeleri hedef almıştır.
BianLian'ın saldırılarının çoğunluğu, saldırıların %57,8'ini oluşturan Amerika Birleşik Devletleri'nde yoğunlaşmaktadır. Diğer önemli hedefler arasında Birleşik Krallık (%10,2), Kanada (%6,8) ve Hindistan (%4,8) bulunmaktadır. Bunlara ek olarak, Avustralya, İsveç, Almanya ve Avusturya gibi ülkeler de daha az oranda da olsa etkilenmiştir. Bu dağılım, grubun sağlam dijital altyapılara ve önemli miktarda değerli veriye sahip gelişmiş ülkelere odaklandığının altını çiziyor.
Kaynak SOCRadar
BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.
Kaynak: Palo Alto'nun 42. Birimi
BianLian belirli sektörleri belirgin bir şekilde tercih ettiğini göstermiştir; en fazla saldırıya maruz kalan sağlık sektörünü imalat, profesyonel ve yasal hizmetler, yüksek teknoloji ve inşaat takip etmektedir. Diğer önemli hedefler arasında ulaşım ve lojistik, toptan ve perakende satış, finansal hizmetler ve eğitim yer almaktadır. Bu örüntü, BianLian'ın hassas ve kritik verileri işleyen sektörlere odaklandığını ve bu sektörleri gasp ve kesinti için başlıca hedefler haline getirdiğini vurgulamaktadır.
Kaynak: Palo Alto'nun 42. Birimi
BianLian, finans, sağlık ve emlak geliştirme sektörlerindeki orta ve büyük ölçekli işletmeler de dahil olmak üzere 425'ten fazla kurbanı hedef almıştır. Grubun güvenliği ihlal edilmiş RDP kimlik bilgilerinden yararlanma ve hassas verileri dışarı sızdırma metodolojisi, etkilenen kuruluşlar için önemli mali ve itibar kaybına yol açmıştır.
Kaynak: Ransomware.live
BianLian, genellikle ilk erişim aracılarından veya phishing kampanyaları aracılığıyla elde edilen, güvenliği ihlal edilmiş Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ilk erişimi elde eder. Ayrıca uzaktan erişim hizmetlerindeki güvenlik açıklarından da yararlanırlar.
Grup, yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek ağın daha fazla istismar edilmesini sağlar.
PowerShell ve Windows Komut Kabuğu kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakır, tespit edilmemek için kayıt defterini değiştirirler.
BianLian, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğinden kimlik bilgilerini toplar ve çeşitli komut satırı araçlarını kullanarak yerel makinede güvenli olmayan kimlik bilgilerini arar.
Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçları kullanan BianLian, değerli hedefleri belirlemek için kapsamlı bir ağ ve aktif dizin keşfi gerçekleştirir.
Grup, ağ içinde yanal olarak hareket etmek için geçerli kimlik bilgileriyle PsExec ve RDP gibi araçları kullanarak Netlogon güvenlik açığı (CVE-2020-1472) gibi güvenlik açıklarından yararlanıyor.
BianLian, kayıt defterini ve dosyaları numaralandırmak için malware adresini kullanır ve şantaj için hassas bilgileri toplamak üzere pano verilerini kopyalar.
Özel arka kapılar yerleştirirler ve ele geçirilen sistemler üzerinde kalıcılığı ve kontrolü sağlamak için meşru uzaktan erişim yazılımları (örneğin TeamViewer, Atera Agent) kullanırlar.
Veriler, Dosya Aktarım Protokolü (FTP), Rclone veya Mega kullanılarak dışarı sızdırılır ve hassas dosyalar, gasp girişimlerinde daha fazla yararlanmak için bulut depolama hizmetlerine yüklenir.
Grup, fidye ödenmediği takdirde dışarı sızan verileri serbest bırakmakla tehdit ederek veri gaspına yöneliyor. Ağ yazıcılarına fidye notları yazdırmak ve kurbanlara tehdit telefonları açmak gibi taktikler kullanmışlardır.
BianLian, genellikle ilk erişim aracılarından veya phishing kampanyaları aracılığıyla elde edilen, güvenliği ihlal edilmiş Uzak Masaüstü Protokolü (RDP) kimlik bilgileri aracılığıyla ilk erişimi elde eder. Ayrıca uzaktan erişim hizmetlerindeki güvenlik açıklarından da yararlanırlar.
Grup, yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek ağın daha fazla istismar edilmesini sağlar.
PowerShell ve Windows Komut Kabuğu kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakır, tespit edilmemek için kayıt defterini değiştirirler.
BianLian, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) belleğinden kimlik bilgilerini toplar ve çeşitli komut satırı araçlarını kullanarak yerel makinede güvenli olmayan kimlik bilgilerini arar.
Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçları kullanan BianLian, değerli hedefleri belirlemek için kapsamlı bir ağ ve aktif dizin keşfi gerçekleştirir.
Grup, ağ içinde yanal olarak hareket etmek için geçerli kimlik bilgileriyle PsExec ve RDP gibi araçları kullanarak Netlogon güvenlik açığı (CVE-2020-1472) gibi güvenlik açıklarından yararlanıyor.
BianLian, kayıt defterini ve dosyaları numaralandırmak için malware adresini kullanır ve şantaj için hassas bilgileri toplamak üzere pano verilerini kopyalar.
Özel arka kapılar yerleştirirler ve ele geçirilen sistemler üzerinde kalıcılığı ve kontrolü sağlamak için meşru uzaktan erişim yazılımları (örneğin TeamViewer, Atera Agent) kullanırlar.
Veriler, Dosya Aktarım Protokolü (FTP), Rclone veya Mega kullanılarak dışarı sızdırılır ve hassas dosyalar, gasp girişimlerinde daha fazla yararlanmak için bulut depolama hizmetlerine yüklenir.
Grup, fidye ödenmediği takdirde dışarı sızan verileri serbest bırakmakla tehdit ederek veri gaspına yöneliyor. Ağ yazıcılarına fidye notları yazdırmak ve kurbanlara tehdit telefonları açmak gibi taktikler kullanmışlardır.
BianLian, MITRE ATT&CK çerçevesiyle uyumlu çeşitli TTP'ler kullanmaktadır. Temel TTP'lerden bazıları şunlardır:
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi:
BianLian öncelikle, genellikle phishing adresinden veya ilk erişim aracılarından elde edilen, güvenliği ihlal edilmiş RDP kimlik bilgileri aracılığıyla ilk erişimi elde eder.
PowerShell kullanarak antivirüs araçlarını ve kurcalamaya karşı koruma özelliklerini devre dışı bırakırlar ve tespit edilmemek için Windows Kayıt Defterini değiştirirler.
BianLian, ABD'de kritik altyapı sektörlerini ve Avustralya'da sağlık hizmetleri, finansal hizmetler ve emlak geliştirme gibi sektörler de dahil olmak üzere özel işletmeleri hedeflemektedir.
BianLian FTP, Rclone veya Mega kullanarak veri sızdırır ve hassas dosyaları bulut depolama hizmetlerine yükler.
BianLian, 2023'te kurbanların sistemlerini şifrelemek yerine, para ödenmediği takdirde çalınan verileri yayınlamakla tehdit ederek sızma tabanlı şantaja odaklandı.
Bir ağ içindeki değerli hedefleri belirlemek için Advanced Port Scanner, SoftPerfect Network Scanner ve PingCastle gibi araçlar kullanırlar.
BianLian yerel yönetici hesaplarını etkinleştirir ve ayrıcalıkları yükseltmek için parolaları değiştirerek daha fazla istismarı kolaylaştırır.
BianLian, ağ üzerinde yanal hareket için geçerli kimlik bilgileriyle PsExec ve RDP kullanır.
Uzaktan erişim araçları üzerinde sıkı kontroller uygulayın, gereksiz hizmetleri devre dışı bırakın, güçlü parola politikaları uygulayın ve düzenli yazılım güncellemeleri ve yamaları sağlayın.
XDR çözümleri, uç noktalar, ağlar ve bulut ortamlarındaki şüpheli etkinlikleri tespit edip azaltarak kapsamlı görünürlük ve otomatik yanıt yetenekleri sağlayarak yardımcı olabilir.