L’opération de ransomware BianLian a changé de tactique, devenant principalement un groupe d’extorsion de vol de données, selon un avis mis à jour de la Cybersecurity & Infrastructure Security Agency des États-Unis, du FBI et de l’Australian Cyber Security Center.
Ces nouvelles informations font partie d’une mise à jour d’un avis conjoint publié en mai par les mêmes agences, qui mettait en garde contre les tactiques changeantes de BianLian impliquant l’utilisation d’informations d’identification RDP (Remote Desktop Protocol) volées, de portes dérobées personnalisées basées sur Go, d’outils d’accès à distance commerciaux et de modifications ciblées du registre Windows.
À l’époque, BianLian avait commencé à passer à l’extorsion de vol de données, abandonnant progressivement les tactiques de cryptage des fichiers, en particulier après qu’Avast a publié un décrypteur pour la famille en janvier 2023.
Alors que Breachtrace est au courant d’attaques BianLian utilisant le cryptage vers la fin de 2023, l’avis mis à jour indique que le groupe de menaces s’est exclusivement tourné vers l’extorsion de données depuis janvier 2024.
« BianLian group utilisait à l’origine un modèle de double extorsion dans lequel ils chiffraient les systèmes des victimes après avoir exfiltré les données; cependant, ils sont passés principalement à l’extorsion basée sur l’exfiltration vers janvier 2023 et sont passés à l’extorsion exclusivement basée sur l’exfiltration vers janvier 2024 », lit-on dans l’avis mis à jour de CISA.
Un autre point mis en évidence dans l’avis est que BianLian tente maintenant d’obscurcir leur origine en utilisant des noms en langue étrangère. Cependant, les agences de renseignement sont convaincues que les principaux opérateurs et les multiples affiliés sont basés en Russie.
L’avis a également été mis à jour avec les nouvelles techniques, tactiques et procédures du gang de ransomwares:
- Cible l’infrastructure Windows et ESXi, éventuellement la chaîne d’exploitation ProxyShell (CVE-2021-34473, CVE-2021-34523, CE-2021-31207) pour l’accès initial.
- Utilise Ngrok et des roches modifiées pour masquer les destinations du trafic à l’aide des tunnels SOCKS5.
- Exploite CVE-2022-37969 pour augmenter les privilèges sur Windows 10 et 11.
- Utilise l’emballage UPX pour contourner la détection.
- Renomme les binaires et les tâches après les services Windows légitimes et les produits de sécurité pour l’évasion.
- Crée des comptes Administrateur de domaine et Azure AD, effectue des connexions de connexion réseau via SMB et installe des webshells sur des serveurs Exchange.
- Scripts PowerShell des utilisateurs pour compresser les données collectées avant l’exfiltration.
- Inclut un nouvel identifiant fiscal pour la communication des victimes dans la demande de rançon.
- Imprime des notes de rançon sur des imprimantes connectées au réseau compromis et appelle les employés des entreprises victimes à faire pression.
Sur la base de ce qui précède, CISA recommande de limiter strictement l’utilisation de RDP, de désactiver les autorisations de ligne de commande et de script et de restreindre l’utilisation de PowerShell sur les systèmes Windows.
Dernière activité de Bianliang
Actif depuis 2022, le ransomware Bian Lian a connu une année prolifique jusqu’à présent, répertoriant 154 victimes sur son portail d’extorsion sur le dark Web.
Bien que la plupart des victimes soient des organisations de petite à moyenne taille, Bian Lian a récemment connu des violations notables, notamment celles contre Air Canada, Northern Minerals et les médecins de Boston Children’s Health.
Le groupe de menaces a également récemment annoncé des violations contre un fabricant mondial de vêtements de sport japonais, une importante clinique texane, un groupe minier mondial, un conseiller financier international et un important cabinet de dermatologie aux États-Unis, mais celles-ci n’ont pas encore été confirmées.