BianLian

Überblick

BianLian ist eine Ransomware-Gruppierung, die mehrgleisige Erpressung betreibt. Sie fordert zum einen ein Lösegeld für einen Entschlüsseler, zum anderen für die Nichtveröffentlichung zuvor entwendeter Daten. Zur Veröffentlichung von Opferidentitäten und gestohlenen Datensätzen unterhält die Gruppe eine öffentlich zugängliche Leak-Plattform im TOR-Netzwerk. Ein Merkmal, das BianLian von anderen Akteuren abhob, war die zusätzliche Bereitstellung einer Spiegelung dieser Plattform im I2P-Netzwerk. Mit dieser Doppelstruktur erhöht die Gruppe den Druck auf betroffene Einrichtungen, indem sie sowohl die Verfügbarkeit der Systeme als auch die Vertraulichkeit der erbeuteten Informationen bedroht. Die Kombination aus Datenverschlüsselung und angedrohter Datenoffenlegung kennzeichnet das grundsätzliche Vorgehen der Gruppe gegenüber ihren Zielen.

Taktiken & Vorgehen

BianLian setzt zur Erkundung der Zielnetze eine Reihe von Scan- und Aufklärungswerkzeugen ein, darunter „RDP Recognizer“, „Advanced IP Scanner“, „Advanced Port Scanner“, „PingCastle“, „SharpShares“, „SoftPerfect NetScan“ und „WKTools“. Für die Ausbreitung im Netz und die Ausführung von Befehlen kommen „PsExec“ und „Impacket“ zum Einsatz. Den dauerhaften Zugriff und die Fernsteuerung sichert die Gruppe über legitime Fernwartungssoftware wie „AmmyyAdmin“, „AnyDesk“, „Atera“, „ScreenConnect“, „Splashtop“ und „TeamViewer“. Zur Datenexfiltration werden „MEGA“ und „RClone“ genutzt. Technisch verschleiert die Gruppe ihren Schadcode durch Packen und Tarnung, erkennt Analyseumgebungen und führt umfangreiche System-, Datei- und Geräteerkundung sowie die Suche nach Sicherheitssoftware durch. Abschließend werden Daten zur Beeinträchtigung der Verfügbarkeit verschlüsselt.

Schutzmaßnahmen

Da BianLian legitime Fernwartungswerkzeuge wie „AnyDesk“, „TeamViewer“, „ScreenConnect“, „Splashtop“, „Atera“ und „AmmyyAdmin“ zur Fernsteuerung missbraucht, sollte der Einsatz solcher Software inventarisiert und nicht autorisierte Fernzugriffe blockiert werden. Die Verwendung von Administrationswerkzeugen wie „PsExec“ und „Impacket“ sollte protokolliert und auf ungewöhnliche laterale Bewegungen hin überwacht werden. Netzinterne Scan-Aktivitäten durch Werkzeuge wie „Advanced IP Scanner“ oder „SoftPerfect NetScan“ sollten durch Netzsegmentierung und Anomalieerkennung auffällig gemacht werden. Auffälliger ausgehender Datenverkehr zu Diensten wie „MEGA“ oder über „RClone“ sollte unterbunden und der Speicher- und Dateizugriff überwacht werden, um Datenexfiltration und anschließende Verschlüsselung frühzeitig zu erkennen.