Los operadores del emergente ransomware multiplataforma BianLian han aumentado su infraestructura de comando y control (C2) este mes, un desarrollo que alude a un aumento en el ritmo operativo del grupo.<\/p>\n
BianLian, escrito en el lenguaje de programaci\u00f3n Go, se descubri\u00f3 por primera vez a mediados de julio de 2022 y se ha cobrado 15 organizaciones v\u00edctimas hasta el 1 de septiembre, firma de ciberseguridad. [redacted] dijo en un reporte<\/a> compartido con The Hacker News.<\/p>\n Vale la pena se\u00f1alar que la familia de ransomware de doble extorsi\u00f3n no tiene conexi\u00f3n con un troyano bancario de Android del mismo nombre, que apunta a aplicaciones de banca m\u00f3vil y criptomonedas para desviar informaci\u00f3n confidencial.<\/p>\n El acceso inicial a las redes de las v\u00edctimas se logra a trav\u00e9s de la explotaci\u00f3n exitosa de las fallas de ProxyShell Microsoft Exchange Server, aprovech\u00e1ndolo para colocar un shell web o una carga \u00fatil de ngrok para actividades de seguimiento.<\/p>\n “BianLian tambi\u00e9n ha apuntado a los dispositivos VPN de SonicWall para su explotaci\u00f3n, otro objetivo com\u00fan para los grupos de ransomware”. [redacted] investigadores Ben Armstrong, Lauren Pearce, Brad Pittack y Danny Quist dijo<\/a>.<\/p>\n A diferencia de otro nuevo malware de Golang llamado Agenda, los actores de BianLian exhiben tiempos de permanencia de hasta seis semanas desde el momento del acceso inicial y el evento de cifrado real, una duraci\u00f3n que est\u00e1 muy por encima de la tiempo medio de permanencia del intruso<\/a> de 15 d\u00edas reportados en 2021.<\/p>\n Adem\u00e1s de aprovechar las t\u00e9cnicas de living-off-the-land (LotL) para la creaci\u00f3n de perfiles de red y el movimiento lateral, tambi\u00e9n se sabe que el grupo implementa un implante personalizado como un medio alternativo para mantener el acceso persistente a la red.<\/p>\n El objetivo principal de la puerta trasera, por [redacted]es recuperar cargas \u00fatiles arbitrarias de un servidor remoto, cargarlas en la memoria y luego ejecutarlas.<\/p>\n BianLian, similar a Agenda, es capaz de iniciar servidores en modo seguro de Windows para ejecutar su malware de cifrado de archivos y, al mismo tiempo, permanecer sin ser detectado por las soluciones de seguridad instaladas en el sistema.<\/p>\n Otros pasos tomados para vencer las barreras de seguridad incluyen la eliminaci\u00f3n de instant\u00e1neas, la depuraci\u00f3n de copias de seguridad y la ejecuci\u00f3n de su m\u00f3dulo de encriptaci\u00f3n Golang a trav\u00e9s de la Administraci\u00f3n remota de Windows (WinRM<\/a>) y secuencias de comandos de PowerShell.<\/p>\n Se dice que el primer servidor C2 conocido asociado con BianLian apareci\u00f3 en l\u00ednea en diciembre de 2021. Pero desde entonces, la infraestructura ha sido testigo de una “explosi\u00f3n preocupante” para superar las 30 direcciones IP activas.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Secuestro](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662038529_860_Los-investigadores-detallan-los-ataques-emergentes-de-ransomware-BianLian-multiplataforma.jpg\" "\\"Secuestro")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Secuestro](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662038529_410_Los-investigadores-detallan-los-ataques-emergentes-de-ransomware-BianLian-multiplataforma.jpg\" "\\"Secuestro")
<\/div>\n