Witold Kepinski - 27 januari 2024

Van versleuteling naar gegevensdiefstal: BianLian-ransomwaregroep evolueert

Onderzoekers van Unit 42, de onderzoeksgroep van Palo Alto Networks, hebben de BianLian-ransomwaregroep nauwlettend gevolgd. Deze groep staat in de top 10 van de meest actieve groepen op basis van gegevens van leksites die Unit 42 heeft verzameld. De BianLian-groep is extreem actief geweest sinds ze opdoken in 2022, met bijna wekelijks nieuwe organisaties die slachtoffer worden van de groep.

Van versleuteling naar gegevensdiefstal: BianLian-ransomwaregroep evolueert image

BianLian treft voornamelijk de gezondheidszorg, productie, professionele en juridische dienstensector. De groep deelt een kleine aangepaste .NET-tool met de Makop-ransomwaregroep, wat duidt op een mogelijke connectie tussen de twee groepen. De leksite van de groep geeft aan dat BianLian mogelijk aan het uitbreiden is door nieuwe ontwikkelaars en partners aan te nemen, zoals wordt vermeld in het gedeelte "Werken bij ons" op de homepage van de groep. BianLian is onlangs ook overgestapt van een dubbel afpersingsschema naar afpersing zonder encryptie. In plaats van de data van hun slachtoffers te versleutelen voordat ze gegevens stelen en dreigen deze te publiceren als ze het losgeld niet betalen, gaan ze nu direct over op het stelen van gegevens om slachtoffers te motiveren om te betalen.

Om bedrijfsnetwerken te infiltreren voeren BianLian-operators vaak de volgende activiteiten uit:

  • Het gebruiken van gestolen RDP-gegevens (Remote Desktop Protocol)
  • De ProxyShell kwetsbaarheid misbruiken
  • Richten op aanbieders van virtuele privénetwerken (VPN)
  • Andere eerder gerapporteerde technieken gebruiken, zoals het inzetten van webshells

Het Unit 42 Incident Response-team heeft sinds september 2022 gereageerd op verschillende BianLian-ransomware-incidenten. Palo Alto Networks-klanten zijn beter beschermd tegen ransomware gebruikt door de BianLian-ransomwaregroep door middel van Cortex XDR, evenals door Cloud-Delivered Security Services voor de Next-Generation Firewall zoals WildFireen Advanced URL Filtering.

Met name de Cortex XDR anti-ransomwaremodule bevatte out-of-the-box beveiligingen die schadelijk gedrag van de ransomware-monsters die zijn getest voorkwamen, zonder dat er specifieke detectielogica of signaturen nodig waren. Verder kan Prisma Cloud Defenderworden ingezet op cloud-gebaseerde Windows virtuele machines om ervoor te zorgen dat ze worden beschermd. Cortex Xpanse kan inzicht bieden dat waardevol kan zijn voor proactieve bescherming.

Axians 12/11/2024 t/m 26/11/2024 BN+BW