El grupo de ransomware BianLian ha cambiado su enfoque y
ahora opera principalmente como un grupo de extorsión basado
en el robo de datos, dejando de lado el cifrado de sistemas.
Desde enero de 2024, se concentra exclusivamente en exfiltrar
datos para extorsionar, utilizando herramientas como
credenciales de Remote Desktop Protocol (RDP) robadas,
backdoors personalizados y modificaciones en el registro de
Windows. Este cambio de tácticas refleja su adaptación a un
modelo más dirigido y sofisticado.
BianLian ha listado 154 víctimas en su portal de extorsión, que
incluyen tanto pequeñas y medianas empresas e inclusive
grandes organizaciones. Aunque han reclamado ataques
recientes a empresas globales, algunos de estos casos aún no
han sido confirmados. Su evolución estratégica subraya la
importancia de implementar medidas de seguridad robustas para
mitigar amenazas como estas.
EL ATAQUE
El aviso actualizado describe nuevas tácticas del grupo de atacantes, que incluyen la explotación de la cadena de vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) para comprometer infraestructuras Windows y ESXi, y el uso de herramientas como Ngrok y Rsocks para enmascarar destinos mediante túneles SOCKS5. Además, explotan la vulnerabilidad CVE-2022-37969 para escalar privilegios en Windows 10 y 11. Para evadir detección, emplean empaquetado UPX y renombrado de binarios con nombres legítimos de servicios. También crean cuentas Domain Admin y Azure AD, colocan webshells en servidores Exchange y utilizan PowerShell para comprimir datos antes de su exfiltración. El grupo ha comenzado a incluir un Tox ID en las notas de rescate y emplea tácticas de presión, como imprimir notas en impresoras conectadas a la red y realizar llamadas telefónicas a empleados de las víctimas.
CISA says BianLian ransomware now focuses only on data theft