Recentemente, il panorama dei ransomware ha visto l’ascesa di un nuovo e pericoloso attore: BianLian.
Scoperto per la prima volta a metà luglio del 2022, questo ransomware multipiattaforma si è rapidamente distinto per la sua capacità di adattarsi e reagire alle misure di sicurezza implementate dalle organizzazioni colpite.

In questo articolo, esploreremo in dettaglio l’evoluzione di BianLian, le sue tecniche avanzate, l’impatto sulle vittime e le strategie di mitigazione che le organizzazioni possono adottare per proteggersi da questa minaccia in rapida espansione.

BianLian cybergang

Evoluzione di BianLian cybergang

Dopo la sua scoperta iniziale a luglio del 2022, BianLian ransomware ha subito un’evoluzione rapida, passando da semplici attacchi a operazioni ransomware sofisticate in grado di sfruttare la presenza di vulnerabilità specifiche e tecniche di attacco non propriamente comuni.
Nel mese di agosto dello stesso anno, il gruppo dietro BianLian ha espanso in modo significativo la propria infrastruttura di comando e controllo, triplicando il numero di server C2 attivi al servizio degli attacchi. Questo incremento non solo riflette l’espansione della loro portata operativa, ma evidenzia anche un’intenzione chiara di intensificare gli attacchi.

La crescita della cybergang è stata ulteriormente evidenziata dall’aumento del numero delle vittime, che includeva organizzazioni nei settori finanziario, sanitario e educativo, prevalentemente in Nord America, Regno Unito e Australia. Questa rapida escalation nelle capacità e nelle vittime di BianLian riflette una tendenza preoccupante tra i gruppi di ransomware di mirare a obiettivi sempre più strutturati.

Tattiche e tecniche del ransomware BianLian

BianLian si distingue nel panorama dei ransomware per il suo approccio metodico e le sofisticate tecniche di violazione e persistenza dell’attacco nelle reti colpite.

La cybergang ha mostrato in più circostanze una predilezione per l’exploit delle vulnerabilità ProxyShell in Microsoft Exchange e per l’attacco ai dispositivi VPN SonicWall: entrambe le strategie facilitano un ingresso iniziale quasi invisibile nelle infrastrutture IT delle organizzazioni vittime.
Una volta presenti all’interno della rete, BianLian impiega tecniche di Living off the Land (LotL), sfruttando gli strumenti e i comandi già presenti sul sistema per muoversi lateralmente senza suscitare sospetti.

Una peculiarità di questo ransomware è la sua capacità di adattarsi rapidamente ai sistemi di difesa incontrati.
Attraverso l’uso di una backdoor apposita, il malware mantiene un accesso persistente e discreto all’interno dell’infrastruttura, consentendo agli attaccanti di caricare e eseguire payload arbitrari. Questa backdoor è particolarmente insidiosa in quanto permette non solo il recupero di informazioni sensibili, ma anche l’implementazione di ulteriori payload malevoli senza interazione diretta.

Inoltre, BianLian ha mostrato di adottare una strategia di crittografia innovativa, segmentando i dati in blocchi da 10 byte per eludere i meccanismi di rilevamento tradizionali. Questo approccio non solo complica la decifrazione dei dati criptati ma garantisce anche che il ransomware possa operare sotto il radar degli strumenti di sicurezza più comuni.

Impatti e vittime di ransomware BianLian

L’impatto di BianLian sulle organizzazioni colpite è stato notevole e si è esteso a livello globale, con particolare concentrazione in:

  • Nord America
  • Regno Unito
  • Australia.

I settori più colpiti comprendono quelli:

  1. finanziario
  2. sanitario
  3. educativo
  4. manifatturiero

dimostrando la capacità del ransomware di colpire trasversalmente industrie appartenenti a settori diversi, con tecnologie uniche per ciascuno. Questo approccio mirato ha permesso a BianLian di influenzare non solo la continuità operativa delle aziende ma anche di compromettere dati sensibili, causando perturbazioni significative e richieste di riscatti con un impatto elevato.

La doppia estorsione, una tattica che prevede la minaccia di divulgazione pubblica dei dati rubati oltre alla loro cifratura, è un caratteristica distintiva nella tecnica di attacco del ransomware BianLian. Non possiamo certo nascondere che questa strategia aumenta la pressione sulle vittime per il pagamento del riscatto, poiché non solo devono preoccuparsi del ripristino dei dati, ma anche del potenziale danno reputazionale dovuto alla perdita di informazioni confidenziali.

Strategie di crittografia e estorsione

Il ransomware BianLian implementa una strategia di crittografia particolarmente sofisticata che utilizza l’algoritmo AES in combinazione con RSA per segmentare e cifrare i dati in blocchi da 10 byte.

Questo approccio non convenzionale non solo aumenta la complessità del processo di decrittazione ma riduce anche la possibilità che i sistemi di sicurezza tradizionali rilevino l’attività del malware prima che abbia concluso il suo lavoro. Attraverso l’uso delle librerie di crittografia disponibili in GoLang, BianLian ottimizza la performance della crittografia mantenendo al contempo un basso profilo operativo.

BianLian utilizza server di comando e controllo per orchestrare gli attacchi e per comunicare con le vittime, spesso attraverso canali di comunicazione come TOX messenger.

Inoltre, il ransomware si distingue per la sua capacità di adattare le richieste di riscatto in base alla valutazione economica dell’organizzazione colpita, una pratica che indica un’analisi dettagliata e mirata del bersaglio. Questa strategia non solo ottimizza il potenziale di guadagno per gli attaccanti ma pone anche sfide significative per le organizzazioni nel determinare la migliore risposta all’incidente, bilanciando costi, rischi e possibili conseguenze a lungo termine.

Consigli e raccomandazioni per la sicurezza

Per fronteggiare efficacemente minacce come il ransomware BianLian, le organizzazioni devono adottare una strategia di sicurezza multilivello che includa sia misure preventive sia reattive.

Prima di tutto, è essenziale mantenere tutti i sistemi operativi e i software aggiornati con le ultime patch di sicurezza per mitigare le vulnerabilità che potrebbero essere sfruttate dai cybercriminali. Ecco perché i servizi di patch management sono fondamentali.

Inoltre, la protezione passa anche attraverso le soluzioni di protezione perimetrale come: antivirus e antimalware affidabili, aggiornati regolarmente.

La formazione continua del personale è cruciale: gli utenti devono essere consapevoli dei rischi associati agli attacchi di phishing che potrebbero servire come punto di ingresso per l’attacco ransomware.

In aggiunta, è vitale implementare una robusta strategia di backup dei dati.
Mantenere backup regolari, isolati dalla rete principale, garantisce che, in caso di attacco ransomware, l’organizzazione possa ripristinare i dati critici senza dover cedere alle richieste di riscatto. Seguire la regola del 3-2-1 è una pratica fortemente consigliata.

Per concludere, mentre il ransomware come BianLian continua a evolversi e altrettanto devono fare le difese delle organizzazioni.
La preparazione, la prevenzione e l’educazione sono le chiavi per mitigare l’impatto di questi attacchi devastanti.