Ransomware BianLian: entenda as táticas e impactos do grupo, e saiba como se proteger

Por Ismael Rocha: O cenário de Ransomware mantém-se ativo em 2024, com diversos grupos de ransomware realizando ataques a uma ampla gama de organizações. Nesse contexto, temos o BianLian Ransomware, uma ameaça cibernética que tem se destacado por suas operações maliciosas.

O BianLian é um desenvolvedor de ransomware, implantador e grupo cibercriminoso de extorsão de dados. Desde junho de 2022, o grupo BianLian tem afetado organizações em vários setores de infraestrutura crítica nos EUA e outro países. Na Austrália, foi observado o grupo BianLian visando predominantemente empresas privadas, incluindo uma organização de infraestrutura crítica. O grupo inicialmente empregou um modelo de extorsão dupla, no qual exfiltrava arquivos financeiros, de clientes, comerciais, técnicos e pessoais para alavancar o pagamento do resgate e criptografava os sistemas das vítimas.

O grupo BianLian originalmente empregou um modelo de dupla extorsão no qual criptografava os sistemas das vítimas após exfiltrar os dados; no entanto, eles mudaram principalmente para extorsão baseada em exfiltração por volta de janeiro de 2023, e mudaram para extorsão exclusivamente baseada em exfiltração por volta de janeiro de 2024.

Página de vazamentos .onion da ameaça.

Sobre o grupo BianLian

O BianLian é um grupo cibercriminoso de ransomware, possivelmente baseado na Rússia, que surgiu em meados de 2022. Desde então, tem direcionado grande parte dos ataques a setores críticos de infraestrutura nos Estados Unidos e a empresas privadas na Austrália. Inicialmente, o grupo utilizava uma abordagem de dupla extorsão, exfiltrando dados sensíveis das vítimas e, em seguida, criptografando seus sistemas. Para liberar os arquivos e evitar a divulgação dos dados roubados, exigia o pagamento de um resgate. Entre os ataques mais notáveis, destaca-se um incidente em 2022 contra uma empresa de saúde nos Estados Unidos, que resultou na interrupção de serviços essenciais por semanas. No mesmo ano, um ataque a uma rede de ensino superior na Austrália comprometeu dados pessoais de estudantes e funcionários. Em 2023, o BianLian também atacou um importante fornecedor de energia na Europa, gerando preocupações significativas sobre a segurança energética na região.

Em janeiro de 2023, após a Avast lançar uma ferramenta de descriptografia que afetou sua eficácia, o grupo adaptou sua estratégia: passou a focar exclusivamente na exfiltração de dados, abandonando a criptografia de sistemas. Essa mudança aumentou a pressão sobre as vítimas, que passaram a ser ameaçadas com a divulgação de informações confidenciais caso o resgate não fosse pago.

Decriptador do BianLian disponibilizado no NoMoreRansom Project.

A evolução das táticas do BianLian demonstra sua capacidade de adaptação no cenário cibernético, tornando-o uma ameaça significativa para organizações em diversos setores. A transição para a extorsão baseada exclusivamente no roubo de dados reflete uma tendência crescente entre grupos de ransomware, que buscam novas formas de pressionar as vítimas sem depender da criptografia dos sistemas.

Cadeia de ataque do Ransomware BianLian

Com base nos dados coletados externamente, a equipe de Inteligência da ISH, Heimdall, realizou a coleta de informações relacionadas às atividades da cyber kill chain dos atores. A seguir, apresentaremos de forma detalhada e segmentada as etapas das operações realizadas pelos mesmos.

Acesso inicial

Os atores do grupo BianLian frequentemente obtêm acesso inicial às redes-alvo ao explorar credenciais comprometidas do Protocolo de Área de Trabalho Remota (RDP). Essas credenciais são geralmente adquiridas por meio de corretores de acesso inicial (access brokers) ou através de campanhas de phishing direcionadas, nas quais as vítimas são induzidas a fornecer informações sensíveis, como senhas e credenciais de login. Além disso, o grupo foca em aplicativos públicos de infraestrutura Windows e ESXi, possivelmente explorando vulnerabilidades como a cadeia de exploração ProxyShell, para expandir sua presença e comprometer os sistemas visados. As quais estão no tópico Vulnerabilidades Exploradas mais abaixo.

Comando e controle

Os operadores do grupo BianLian utilizam um backdoor personalizado, desenvolvido em Go, adaptado especificamente para cada vítima. Além disso, instalam ferramentas de gerenciamento e acesso remoto para garantir persistência e facilitar o comando e controle. Foi observado também que o grupo cria ou ativa contas de administrador local, alterando as senhas dessas contas como parte de suas táticas de comprometimento. O grupo pode empregar a ferramenta de proxy reverso Ngrok ou uma versão modificada do utilitário de código aberto Rsocks. O uso do proxy externo Rsocks permite ao BianLian estabelecer túneis de rede SOCKS5 a partir das redes comprometidas, ajudando a ocultar o destino do tráfego de comando e controle (C2) e dificultando a detecção de suas operações maliciosas.

Escalação de privilégios

O grupo BianLian foi observado explorando uma vulnerabilidade no driver do Windows Common Log File System, presente nos sistemas Windows 10 e 11, para realizar a elevação de privilégios nas máquinas das vítimas.

Evasão de defesa

Os integrantes do grupo BianLian utilizam o PowerShell e o Windows Command Shell para desativar soluções de segurança, incluindo o Windows Defender e a Anti-Malware Scan Interface (AMSI). Além disso, eles manipulam o Registro do Windows para desabilitar a proteção contra adulteração nos serviços Sophos, como SAVEnabled, SEDEenabled e SAVService, permitindo a desinstalação desses serviços.

Os atores também renomeiam binários e tarefas agendadas, atribuindo-lhes nomes que imitam serviços legítimos do Windows ou produtos de segurança, com o objetivo de evitar a detecção. Para dificultar ainda mais a identificação, eles podem compactar executáveis usando UPX, ocultando o código malicioso e burlando métodos de detecção baseados em heurística ou assinaturas.

Descoberta

Os agentes do BianLian utilizam uma variedade de ferramentas compiladas, que são baixadas inicialmente no ambiente da vítima, para realizar um reconhecimento detalhado do sistema e obter informações sobre a infraestrutura. Entre as ferramentas empregadas pelo grupo estão:

  • Advanced Port Scanner: um scanner de rede que identifica portas abertas em computadores da rede e coleta informações sobre as versões dos programas associados a essas portas.
  • SoftPerfect Network Scanner (netscan.exe): uma ferramenta de rede capaz de realizar ping em computadores, escanear portas e identificar pastas compartilhadas disponíveis.
  • SharpShares: usado para enumerar compartilhamentos de rede acessíveis dentro de um domínio.
  • PingCastle: utilizado para mapear o Active Directory (AD), gerando uma visualização da hierarquia de relacionamentos de confiança no AD e ajudando a identificar potenciais vetores de ataque.

Essa combinação de ferramentas permite ao grupo obter um panorama completo do ambiente da vítima, facilitando o planejamento de ações subsequentes.

Os operadores do grupo BianLian também fazem uso de ferramentas nativas do Windows e do Windows Command Shell para executar uma série de atividades de reconhecimento, incluindo:

  • Consultar os usuários atualmente conectados ao sistema.
  • Obter informações do controlador de domínio, como:
  • Todos os grupos existentes.
  • Contas pertencentes aos grupos de Administradores de Domínio e Computadores de Domínio.
  • Todos os usuários cadastrados no domínio.
  • Gerar uma lista completa de controladores de domínio e das relações de confiança entre domínios.
  • Identificar dispositivos acessíveis na rede, permitindo mapear a infraestrutura para ataques subsequentes.

Os integrantes do grupo BianLian utilizam o PowerShell como ferramenta de descoberta, empregando scripts para coletar informações detalhadas sobre o sistema da vítima. Esses scripts são usados para listar todos os processos em execução, identificar os softwares instalados no ambiente e enumerar todas as unidades locais disponíveis, permitindo aos atacantes um reconhecimento abrangente do sistema.

O grupo BianLian utiliza contas válidas para realizar movimentos laterais na rede e executar atividades subsequentes. Para obter credenciais, os atacantes empregam o Windows Command Shell para localizar credenciais armazenadas de forma insegura na máquina local. Além disso, foi identificado que o grupo coleta credenciais diretamente da memória do Local Security Authority Subsystem Service (LSASS), baixa a ferramenta RDP Recognizer no sistema da vítima (possivelmente usada para forçar senhas RDP ou verificar vulnerabilidades no protocolo) e tenta acessar o banco de dados de domínio do Active Directory (NTDS.dit). Em um incidente, observou-se que o grupo usou uma versão portátil da ferramenta Impacket (secretsdump.py) para se movimentar lateralmente até um controlador de domínio, onde extraíram hashes de credenciais, reforçando seu controle sobre a rede comprometida.

Persistência e movimentação lateral

Os operadores do grupo BianLian utilizam ferramentas como PsExec e o protocolo RDP com credenciais válidas para realizar movimentações laterais dentro da rede. Antes de habilitar o uso do RDP, eles empregam o Command Shell e ferramentas nativas do Windows para adicionar contas de usuário ao grupo local Remote Desktop Users, alterar a senha dessas contas e ajustar as regras do firewall do Windows para permitir tráfego RDP de entrada. Em um incidente, foi encontrado um artefato forense denominado exp.exe em um sistema comprometido, que possivelmente explorava a vulnerabilidade Netlogon. Em outro caso, o ACSC (Australian Cyber Security Centre) identificou que os atores do grupo BianLian estabeleceram conexões de login de rede do tipo 3 utilizando o protocolo SMB (Server Message Block).

Os atacantes também criam contas de usuário para movimentação lateral e persistência. Em um caso confirmado, o grupo criou várias contas de administrador de domínio para se mover lateralmente até o controlador de domínio. No mesmo incidente, também foram criadas múltiplas contas no Azure AD, permitindo que mantivessem acesso contínuo aos sistemas da vítima. Além disso, os atores instalaram webshells em servidores Exchange comprometidos, garantindo persistência e maior flexibilidade para operações futuras na infraestrutura das vítimas.

Coleção

Foi identificado que os operadores do grupo BianLian utilizam um malware denominado system.exe, projetado para enumerar valores do Registro e arquivos no sistema, além de capturar dados armazenados na área de transferência dos usuários. Os agentes também recorrem a scripts do PowerShell para compactar e/ou criptografar as informações coletadas, preparando-as para o processo de exfiltração.

Exfiltração e impacto

Para exfiltrar os dados, o grupo emprega o Protocolo de Transferência de Arquivos (FTP) e a ferramenta Rclone, que permite sincronizar arquivos com serviços de armazenamento em nuvem. Observou-se que os atores instalam o Rclone e outros arquivos em diretórios genéricos e pouco monitorados, como programdata\vmware e pastas de música. Além disso, o ACSC (Australian Cyber Security Centre) identificou que os atacantes utilizam o serviço de compartilhamento de arquivos Mega para transferir os dados exfiltrados.

Antes de janeiro de 2024, o grupo utilizava um criptografador chamado encryptor.exe, que alterava todos os arquivos criptografados para a extensão .bianlian e deixava uma nota de resgate em cada diretório afetado. De acordo com o conteúdo dessas notas, o BianLian buscava, exfiltrava e criptografava arquivos relacionados a informações financeiras, de clientes, dados comerciais, técnicos e pessoais.

Exemplo de nota de resgate antiga do BianLian.

O grupo BianLian adota diversas estratégias para pressionar as vítimas a pagar o resgate. As notas de ransomware mais recentes indicam que o grupo exfiltrou dados e ameaça vazar essas informações caso o pagamento não seja realizado. Para estabelecer comunicação, as mensagens fornecem um contato via Tox e incluem endereços de e-mail alternativos. Além disso, o BianLian utiliza técnicas adicionais de intimidação, como imprimir as notas de resgate em impressoras dentro da rede comprometida. Há também relatos de funcionários de empresas vítimas que receberam telefonemas ameaçadores de indivíduos ligados ao grupo, intensificando a pressão para o pagamento do resgate.

Exemplo de nota de resgate atual do BianLian.

CVEs exploradas

No momento da elaboração deste relatório, foi constatado que os operadores do ransomware BianLian têm explorado ativamente as vulnerabilidades listadas abaixo para conduzir seus ataques. A identificação dessas atividades reforça o uso estratégico de falhas de segurança por parte do grupo, demonstrando uma abordagem sofisticada e direcionada para comprometer sistemas vulneráveis, exfiltrar dados e extorquir suas vítimas. Essa prática evidencia a necessidade de manter os sistemas devidamente atualizados e implementar medidas de segurança robustas para mitigar os riscos associados a tais ameaças.

  • CVE-2021-34473: Vulnerabilidade de Execução de código remoto no Microsoft Exchange Server
  • CVE-2021-34523: Vulnerabilidade de Elevação de privilégios no Microsoft Exchange Server
  • CVE-2021-31207: Vulnerabilidade de Bypass de recurso de segurança no Microsoft Exchange Server
  • CVE-2022-37969: Vulnerabilidade de Elevação de privilégios no Windows Common Log File System Driver
  • CVE-2020-1472: Vulnerabilidade de Elevação de privilégios no Microsoft Windows Server
  • CVE-2024-27198: Vulnerabilidade de Bypass de autenticação no JetBrains TeamCity
  • CVE-2023-42793: Vulnerabilidade de Bypass de autenticação no JetBrains TeamCity

Comandos utilizados pelo grupo BianLian em ataques

Abaixo estão listados alguns comandos frequentemente utilizados por atores do BianLian durante suas operações maliciosas, explorando tanto o PowerShell quanto o Windows Command Shell:

  • Assembly.GetType(‘System.Management.Automation.AmsiUtils’).GetField(‘amsiInitFailed’,’NonPublic,* Static’).SetValue($null,$true)
  • cmd.exe /Q /c for /f “tokens=1,2 delims= “ ^%A in (‘”tasklist /fi “Imagename eq lsass.exe” | find “lsass””’) do rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump ^%B \Windows\Temp\<file>.csv full
  • cmd.exe /Q /c net user <admin> /active:yes 1> \\127.0.0.1\C$\Windows\Temp\<folder> 2>&1
  • cmd.exe /Q /c net user “<admin>”<password> 1> \\127.0.0.1\C$\Windows\Temp\<folder> 2>&1
  • cmd.exe /Q /c quser 1> \\127.0.0.1\C$\Windows\Temp\<folder> 2>&1
  • dism.exe /online /Disable-Feature /FeatureName:Windows-Defender /Remove /NoRestart
  • findstr /spin “password” *.* >C:\Users\training\Music\<file>.txt
  • net group /domain
  • net group ‘Domain Admins’ /domain
  • net group ‘Domain Computers’ /domain
  • net user /domain
  • net.exe localgroup “Remote Desktop Users” <user> /add
  • net.exe user <admin> <password> /domain
  • netsh.exe advfirewall firewall add rule “name=allow RemoteDesktop” dir=in * protocol=TCP localport=<port num> action=allow
  • netsh.exe advfirewall firewall set rule “group=remote desktop” new enable=Yes
  • nltest /dclist
  • nltest /domain_trusts
  • ping.exe -4 -n 1 *
  • quser; ([adsisearcher]”(ObjectClass=computer)”).FindAll().count;([adsisearcher]”(ObjectClass=user)”).FindAll().count;[Security.Principal.WindowsIdentity]::GetCurrent() | select name;net user “$env:USERNAME” /domain; (Get-WmiObject -class Win32_OperatingSystem).Caption; Get-WmiObject -Namespace root\cimv2 -Class Win32_ComputerSystem; net group “domain admins” /domain; nltest /dclist:; nltest /DOMAIN_TRUSTS
  • reg.exe add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal * Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f
  • reg.exe add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /* v fAllowToGetHelp /t REG_DWORD /d 1 /f
  • reg.exe add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint * Defense\TamperProtection\Config” /t REG_DWORD /v SAVEnabled /d 0 /f
  • start-process PowerShell.exe -arg C:\Users\Public\Music\<file>.ps1 -WindowStyle Hidden

Como manter seu negócio seguro

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da referida ameaça, como por exemplo:

  • Mantenha backups regulares e seguros: Realize backups frequentes dos dados críticos e armazene-os offline ou em locais inacessíveis a partir da rede principal, garantindo que possam ser restaurados em caso de ataque.
  • Atualize sistemas e softwares: Mantenha todos os sistemas operacionais, aplicativos e dispositivos atualizados com os patches de segurança mais recentes para corrigir vulnerabilidades que possam ser exploradas.
  • Implemente a autenticação multifator (MFA): Adote MFA para todas as contas, especialmente as que acessam sistemas críticos, adicionando uma camada extra de proteção contra acessos não autorizados.
  • Restrinja o uso de protocolos de acesso remoto: Limite estritamente o uso de protocolos como o RDP e outros serviços de desktop remoto, que são comumente explorados pelo BianLian para obter acesso inicial às redes das vítimas.
  • Desenvolva e exercite planos de resposta a incidentes: Crie, mantenha e teste regularmente planos de resposta a incidentes cibernéticos, garantindo que sua organização esteja preparada para lidar com possíveis ataques.
  • Eduque e treine funcionários: Promova programas de conscientização sobre segurança cibernética, ensinando os funcionários a identificar e relatar atividades suspeitas, como e-mails de phishing.
  • Utilize soluções de segurança avançadas: Implemente softwares de segurança que ofereçam proteção contra ransomware, incluindo recursos de detecção e prevenção baseados em inteligência artificial.
  • Monitore e restrinja o uso de ferramentas de administração remota: Supervisione o uso de softwares de acesso remoto e desative aqueles que não são necessários, pois o BianLian frequentemente utiliza essas ferramentas para manter persistência nos sistemas comprometidos.
  • Implemente a segmentação de rede e controle de acesso: Divida a rede em segmentos menores para limitar o movimento lateral de atacantes. Utilize listas de controle de acesso (ACLs) para restringir o tráfego entre segmentos, garantindo que apenas comunicações necessárias sejam permitidas. Isso dificulta a propagação de ransomware dentro da rede caso um dispositivo seja comprometido.
  • Habilite o registro avançado do PowerShell: Pois os logs do PowerShell contêm dados valiosos, incluindo interação histórica do sistema operacional e do registro e possíveis TTPs do uso do PowerShell por um agente de ameaça.

Indicadores de Comprometimento (IOCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de Comprometimento de artefatos.

Indicadores de URL, IPs e Domínios

Indicadores de Comprometimento de Rede.

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Referências

Tags: , , , , ,

Copyright © 2024 ISH Tecnologia, All Rights Reserved.