Die Betreiber der aufkommenden plattformübergreifenden Ransomware BianLian haben in diesem Monat ihre Command-and-Control (C2)-Infrastruktur ausgebaut, was auf eine Erhöhung des operativen Tempos der Gruppe hindeutet.
Die in der Programmiersprache Go geschriebene Ransomware BianLian wurde zum ersten Mal Mitte Juli 2022 entdeckt und hat bis zum 1. September bereits 15 Opfer gefordert, wie das Cybersecurity-Unternehmen [redacted] in einem Bericht an The Hacker News berichtet.
Es ist erwähnenswert, dass die Ransomware-Familie der doppelten Erpressung keine Verbindung zu dem gleichnamigen Android-Bankentrojaner hat, der auf mobile Banking- und Kryptowährungs-Apps abzielt, um sensible Daten abzuschöpfen.
Der erste Zugang zu den Netzwerken der Opfer erfolgt über die erfolgreiche Ausnutzung der ProxyShell-Schwachstelle im Microsoft Exchange Server, die entweder eine Web-Shell oder eine Ngrok-Nutzlast für Folgeaktivitäten enthält.
„BianLian hat auch SonicWall VPN-Geräte ins Visier genommen, ein weiteres beliebtes Ziel für Ransomware-Gruppen“, so die [redacted]-Forscher Ben Armstrong, Lauren Pearce, Brad Pittack und Danny Quist.
Im Gegensatz zu einer anderen neuen Golang-Malware namens Agenda weisen die BianLian-Akteure eine Verweildauer von bis zu sechs Wochen zwischen dem ersten Zugriff und der eigentlichen Verschlüsselung auf – eine Dauer, die deutlich über der durchschnittlichen Verweildauer der Eindringlinge von 15 Tagen liegt, die 2021 gemeldet wurde.
Neben der Nutzung von Living-off-the-land (LotL)-Techniken zur Erstellung von Netzwerkprofilen und für laterale Bewegungen ist die Gruppe auch dafür bekannt, dass sie ein benutzerdefiniertes Implantat als alternatives Mittel einsetzt, um sich dauerhaft Zugang zum Netzwerk zu verschaffen.
Das Hauptziel der Backdoor besteht laut [redacted] darin, beliebige Nutzdaten von einem entfernten Server abzurufen, sie in den Speicher zu laden und dann auszuführen.
Ähnlich wie Agenda ist BianLian in der Lage, Server im abgesicherten Modus von Windows zu booten, um seine dateiverschlüsselnde Malware auszuführen und gleichzeitig von den auf dem System installierten Sicherheitslösungen unentdeckt zu bleiben.
Weitere Schritte, um Sicherheitsbarrieren zu umgehen, sind das Löschen von Schattenkopien, das Bereinigen von Backups und die Ausführung des Golang-Verschlüsselungsmoduls über die Windows-Remote-Verwaltung (WinRM) und PowerShell-Skripte.
Der früheste bekannte C2-Server, der mit BianLian in Verbindung gebracht wird, soll im Dezember 2021 online gegangen sein. Seitdem hat die Infrastruktur einen „beunruhigenden Anstieg“ auf über 30 aktive IP-Adressen erlebt.
Nach Angaben von Cyble, das Anfang des Monats den Modus Operandi der Ransomware detailliert beschrieben hat, sind Unternehmen aus verschiedenen Branchen wie Medien, Banken, Energie, Produktion, Bildung, Gesundheit und professionelle Dienstleistungen betroffen. Die meisten der Unternehmen sind in Nordamerika, Großbritannien und Australien ansässig.
BianLian ist ein weiteres Indiz dafür, dass die Cyberkriminellen weiterhin versuchen, ihre Taktik zu ändern, um nicht entdeckt zu werden. Sie reiht sich ein in die wachsende Zahl von Bedrohungen, die Go als Basissprache verwenden und es den Angreifern ermöglichen, schnelle Änderungen in einer einzigen Codebasis vorzunehmen, die dann für mehrere Plattformen kompiliert werden kann.
„Die BianLian haben gezeigt, dass sie die LOL-Methode (Living of the Land) geschickt einsetzen, um sich seitlich zu bewegen und ihre Operationen an die Fähigkeiten und die Verteidigung anzupassen, die sie im Netzwerk vorfinden“, so die Forscher.