Los operadores del emergente ransomware multiplataforma BianLian han aumentado su infraestructura de comando y control (C2) este mes, un desarrollo que alude a un aumento en el ritmo operativo del grupo.
BianLian, escrito en el lenguaje de programación Go, se descubrió por primera vez a mediados de julio de 2022 y se ha cobrado 15 organizaciones víctimas hasta el 1 de septiembre, firma de ciberseguridad. [redacted] dijo en un reporte compartido con The Hacker News.
Vale la pena señalar que la familia de ransomware de doble extorsión no tiene conexión con un troyano bancario de Android del mismo nombre, que apunta a aplicaciones de banca móvil y criptomonedas para desviar información confidencial.
El acceso inicial a las redes de las víctimas se logra a través de la explotación exitosa de las fallas de ProxyShell Microsoft Exchange Server, aprovechándolo para colocar un shell web o una carga útil de ngrok para actividades de seguimiento.
«BianLian también ha apuntado a los dispositivos VPN de SonicWall para su explotación, otro objetivo común para los grupos de ransomware». [redacted] investigadores Ben Armstrong, Lauren Pearce, Brad Pittack y Danny Quist dijo.
A diferencia de otro nuevo malware de Golang llamado Agenda, los actores de BianLian exhiben tiempos de permanencia de hasta seis semanas desde el momento del acceso inicial y el evento de cifrado real, una duración que está muy por encima de la tiempo medio de permanencia del intruso de 15 días reportados en 2021.
Además de aprovechar las técnicas de living-off-the-land (LotL) para la creación de perfiles de red y el movimiento lateral, también se sabe que el grupo implementa un implante personalizado como un medio alternativo para mantener el acceso persistente a la red.
El objetivo principal de la puerta trasera, por [redacted]es recuperar cargas útiles arbitrarias de un servidor remoto, cargarlas en la memoria y luego ejecutarlas.
BianLian, similar a Agenda, es capaz de iniciar servidores en modo seguro de Windows para ejecutar su malware de cifrado de archivos y, al mismo tiempo, permanecer sin ser detectado por las soluciones de seguridad instaladas en el sistema.
Otros pasos tomados para vencer las barreras de seguridad incluyen la eliminación de instantáneas, la depuración de copias de seguridad y la ejecución de su módulo de encriptación Golang a través de la Administración remota de Windows (WinRM) y secuencias de comandos de PowerShell.
Se dice que el primer servidor C2 conocido asociado con BianLian apareció en línea en diciembre de 2021. Pero desde entonces, la infraestructura ha sido testigo de una «explosión preocupante» para superar las 30 direcciones IP activas.
Según Cyble, que detallado Según el modus operandi del ransomware a principios de este mes, las empresas objetivo abarcan varios sectores industriales, como los medios de comunicación, la banca, la energía, la fabricación, la educación, la atención médica y los servicios profesionales. La mayoría de las empresas tienen su sede en América del Norte, el Reino Unido y Australia.
BianLian es otra indicación más de los esfuerzos dedicados de los ciberdelincuentes para continuar saltando tácticas para evitar la detección. También se suma a un número cada vez mayor de amenazas que utilizan Go como lenguaje fundamental, lo que permite a los adversarios realizar cambios rápidos en un solo código base que luego se puede compilar para múltiples plataformas.
«BianLian ha demostrado ser experto en la metodología Living of the Land (LOL) para moverse lateralmente, ajustando sus operaciones en función de las capacidades y defensas que encontraron en la red», dijeron los investigadores.