I ricercatori della società di sicurezza informatica Redacted hanno di recente pubblicato un’analisi tecnica sul ransomware BianLian. Dal mese di agosto la cyber gang starebbe espandendo rapidamente l’infrastruttura di comando e controllo (C2) e il tasso di attacco.
“Abbiamo osservato quella che sembrava essere un’esplosione alquanto preoccupante nella velocità con cui BianLian portava online i nuovi server C2. Per tutto il mese, BianLian ha continuato ad aggiungere nuovi nodi C2 alla propria infrastruttura operativa, chiudendo il mese con circa 30 IP attivi, triplicando in poche settimane”, si legge nel rapporto pubblicato dai ricercatori di Redacted.
Fonte: Redacted.
Le organizzazioni vittime, con sede prevalentemente in Nord America, Regno Unito e Australia, sarebbero operanti nei settori BSFI (bancari, finanziari e assicurativi), Istruzione, Sanità, Media e Intrattenimento, Manifatturiero, Servizi Professionali.
Fonte: Cyble.
Indice degli argomenti
BianLian, le peculiarità del ransomware
BianLian è un ransomware (scoperto la prima volta a giugno del 2022) scritto nel linguaggio di programmazione open source GoLang, che consente agli attori delle minacce di implementare malware capaci di vanificare il reverse engineering e compromettere più piattaforme.
In particolare i ricercatori di sicurezza (Redacted) avrebbero notato lo sfruttamento della catena di vulnerabilità di ProxyShell in Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) e dei dispositivi SonicWall VPN per ottenere l’accesso iniziale alle reti target oltre a impiegare la metodologia Living off the Land (LotL) per lo spostamento laterale e la profilazione della rete.
Tra le peculiarità, oltre ad adattare le proprie attività sulla base dei controlli difensivi rilevati, BianLian utilizzerebbe anche una backdoor speciale per mantenere un accesso costante alla rete e consentire il recupero di payload arbitrari dai relativi server remoti, caricarli in memoria ed eseguirli.
Il ransomware avrebbe, inoltre, un tempo di permanenza di sei settimane dal momento in cui l’attore malevolo ottiene l’accesso iniziale e l’evento di crittografia effettivo.
Secondo l’analisi Cyble l’esecuzione del binario ransomware provvederebbe a:
- crittografare i file, aggiungendo ai nomi l’estensione .bianlian. Per la crittografia, il malware divide il contenuto dei file in piccoli blocchi da 10 byte, un metodo per eludere il rilevamento da parte dei prodotti antivirus e utilizza i Package usesGoLang “crypto/cipher”, “crypto/aes” e “crypto/rsa”. Vengono esclusi dalla crittografia i file con estensioni .exe, .dll, .sys, .txt, .drv, .bianlin, mui e .html.
Fonte: Redacted
- rilasciare una nota di riscatto “Look at this instruction.txt” con la quale alle vittime vengono fornite istruzioni sui punti di contatto per ripristinare i propri file crittografati (l’ID di TOX Messenger per le negoziazioni di riscatto e l’URL Onion della pagina del sito BianLian leak), minacciando, secondo lo schema tipico della doppia estorsione, che i dati finanziari, aziendali, tecnici e personali carpiti verranno pubblicati se il riscatto non viene pagato entro dieci giorni.
Fonte: Redacted.
- autoeliminarsi, completate le operazioni precedenti, lasciando solo i file crittografati e la richiesta di riscatto sul computer della vittima.
Considerazioni e raccomandazioni
“Anche se non abbiamo l’intuizione per conoscere la causa esatta di questa improvvisa esplosione di crescita, ciò potrebbe indicare che [gli operatori BianLian] sono pronti ad aumentare il loro ritmo operativo, anche se, qualunque sia la ragione, c’è poco di buono che deriva dal fatto che un operatore ransomware abbia più risorse disponibili”, sottolinea il Team di ricerca Redacted e concludono: “Quando si mitiga la minaccia rappresentata dagli attori ransomware, è essenziale utilizzare un approccio a più livelli. È necessario concentrarsi sulla riduzione della superficie di attacco per evitare i tipi più comuni di tecniche di sfruttamento, ma anche prepararsi ad agire in modo rapido ed efficace quando si verifica inevitabilmente una compromessione”.
È fondamentale, pertanto:
- definire un solido piano di gestione delle patch;
- condurre pratiche di backup mantenendo tali backup offline e/o in rete separate secondo la regola 3-2-1 (possedere almeno tre copie, conservate su due supporti diversi, tenendo una copia di backup off-site);
- utilizzare l’autenticazione 2FA almeno per gli account amministrativi critici;
- limitare gli accessi remoti, qualora non protetti tramite autenticazione 2FA;
- segmentare la rete tenendo separati e isolati i sistemi critici;
- integrare nella cultura aziendale la consapevolezza della sicurezza, definendo best practice e un piano di risposta agli incidenti, verificandone l’attuazione con audit periodici.
Restano comunque sempre valide alcune semplici raccomandazioni. Si consiglia il download solo da fonti ufficiali e verificate. Inoltre, è importante attivare e aggiornare i programmi su computer e ogni dispositivo connesso utilizzando esclusivamente strumenti legittimi, prestare attenzione ad allegati e collegamenti presenti in e-mail e messaggi sospetti ed avere un antivirus affidabile installato e mantenuto aggiornato, eseguendo scansioni regolari del sistema.
