Nuevo Ransomware BianLian Multiplataforma

BianLian es una variante de ransomware de código abierto escrita en Go que ha ganado popularidad debido a su funcionalidad multiplataforma. Según los investigadores de Cyble, el malware se identificó por primera vez a mediados de julio y ya se conocen 25 organizaciones afectadas. 

BinLian

Este ransomware se ha utilizado en ataques contra organizaciones conocidas que operan en BFSI (banca, servicios financieros y seguros), educación, atención médica, medios y entretenimiento, manufactura y otras esferas.

Como característica principal, cifra los archivos añadiendo la extension .binlian

Una vez que finaliza este proceso los ciberactores dejan una nota de rescate. El texto que contiene deja en evidencia que este ransomware utiliza tácticas de doble extorsión y se dirige a las empresas en lugar de a los usuarios domésticos. 

Después de que se completaron sus operaciones, BianLian se elimina a sí mismo. Cabe señalar que esta familia de ransomware de doble extorsión no tiene conexión con un troyano bancario de Android del mismo nombre, que apunta a aplicaciones de banca móvil y criptomonedas para desviar información confidencial.

Cómo funciona:

Para obtener acceso inicial a las redes de las víctimas el grupo BianLian apuntó con éxito a la cadena de vulnerabilidad ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Después de la explotación, implementaron un webshell o una solución ligera de acceso remoto como ngrok como carga útil de seguimiento. BianLian también ha apuntado a los dispositivos VPN de SonicWall para su explotación, otro objetivo común para los grupos de ransomware.

Finalmente, si bien no se ha evidenciado un ataque exitoso, se tiene indicios de que el ciberactor apunta a servidores que brindan acceso remoto a la red a través de soluciones como Remote Desktop, intentando explotar credenciales débiles o expuestas. Adicionalmente se ha observado tiempos de permanencia de hasta seis semanas desde que el actor obtiene el acceso inicial hasta el evento de cifrado real.

Tácticas en el objetivo:

Con una “beachhead” establecida dentro de una red, BianLian ha demostrado ser experto en la metodología Living off the Land (LOL) para moverse lateralmente, ajustando sus operaciones en función de las capacidades y defensas que encontró en la red. 

Por ejemplo,

• Backdoor: Aprovechan una combinación de Non-Sucking Service Manager nssm .exe y el proxy inverso ngrok .exe para crear puertas traseras en los servidores. 
• Movimiento Lateral: Aprovechan protocolos con deficiencia en su configuración como RDP, WinRM, WMI y PowerShell para lograr perfiles de red. 
• BackDoor: Finalmente, implementan una puerta trasera personalizada en un subconjunto de hosts comprometidos para proporcionar acceso adicional a la red en caso de que se interrumpiera su medio principal.

Como BianLian inicialmente se propaga por una red, buscando los datos más valiosos para robar e identificar las máquinas más críticas para encriptar, parecían tomar medidas para minimizar los eventos observables. Como ejemplo, se ha observado que el actor de amenazas elige evitar hacer ping a un objetivo y, en su lugar, utiliza el comando arp en segmentos de red donde el host objetivo sería accesible. 

En los casos en que era necesario hacer ping, el actor fue juicioso en el uso, a menudo enviando solo un ping. Si bien es posible que una solución de defensa de red puede configurarse de tal manera que identifique un ping anormal, es poco probable que las soluciones de seguridad de red y EDR más comunes identifiquen a un actor que realiza un reconocimiento de red específico a través de arp.

Una vez que el actor de BianLian identifica a un host al que deseaba acceder, solía utilizar técnicas LOL estándar como net .exe para agregar y/o modificar permisos de usuario, netsh .exe para configurar políticas de firewall del host y reg .exe para ajustar varios registros. configuración relacionada con el escritorio remoto y la aplicación de políticas de seguridad.

Ejemplos de comandos LOL observados:

Adicionalmente se ha identificado que incluso en las horas finales previas al cifrado, se observa al ciberactor ha teniendo especial cuidado en evitar ser detectado. 

En un primer caso de análisis el ciberactor accedió a la red de la víctima para presuntamente realizar un reconocimiento de la red de última hora y/o una verificación de objetivos, enviando nuevamente pings únicos y solicitudes de arp a los hosts, en donde posterior a esto, el actor se desconectó de la red durante aproximadamente una hora antes de regresar para comenzar su ataque de rescate.

Una vez que BianLian toma la decisión de cifrar la red de una víctima, deja de lado su deseo de no ser detectado y adopta un enfoque mucho más agresivo, atacando cualquier red o defensa basada en host que impidiera la ejecución de su herramienta de cifrado personalizada.

Ejemplos de comandos observados apuntando a las defensas:

Apuntando a Windows Defender

Dirigirse a la interfaz de análisis antimalware de Windows (AMSI)

Apuntando a Sophos

En un segundo caso de análisis, BianLian identificó un servidor que se encontraba correctamente configurado y protegiendo adecuadamente la red de la víctima, de tal manera que el ciberactor no pudo ejecutar con éxito su herramienta de cifrado. 

Para superar esto, utilizó la herramienta TightVNC, con la cual modificó una clave de registro para habilitar el acceso a la red para TightVNC mientras estaba en modo seguro, para luego iniciar el servidor en modo seguro.

Dado que la mayoría de las aplicaciones de seguridad no se ejecutan en modo seguro, esto permitió el cifrado parcial del servidor.  

En situaciones en las que el ciberactor pudo superar las defensas de la víctima, BianLian utilizó muchas de las técnicas comunes observadas en un ataque de ransomware moderno, como eliminar archivos de instantáneas, eliminar copias de seguridad, así como distribuir y ejecutar su cifrador personalizado a través de métodos como RDP., WMI, WinRM y PowerShell.

TTPs MITRE&TACK

Apreciación

El surgimiento de BianLian muestra el esfuerzo dedicado de los ciberdelincuentes para mantener tácticas de salto que permitan evadir la detección de tecnologías de seguridad, manteniendo a los expertos en seguridad alerta. Además se suma a un número creciente de amenazas que utilizan lenguaje de programación GO en sus programas, lo que permite a los adversarios realizar cambios rápidos en un solo código base que luego se puede compilar para múltiples plataformas.

Si bien el sitio onion del ciberactor no es muy robusto en cuanto a infraestructura como ellos mismos admiten, esta familia de ransomware es muy prolífica con la gran cantidad de ataques conocidos hasta la fecha desde mediados de julio por lo que es importante mantener el monitoreo sobre BianLian 

Hasta el momento BianLian ha centrado sus ataques principalmente a EE.UU, Australia y UK, además se registra un ataque a República Dominica detectado el día 30 de agosto, por lo que BianLian podría sumar nuevos objetivos en Latam.

 Además gracias a su página en la red TOR se puede apreciar los principales rubros afectados por el ransomware debido a la utilización de TAGS por parte de ellos, pudiendo identificar que entre los sectores más afectados se encuentra el de salud, educación, medios de comunicación y entretenimiento, por lo que con esto se podría asumir que los ciberactores detrás de BianLian no tienen un sector específico para realizar sus operaciones y podría tratarse de un grupo oportunista con motivaciones principalmente económicas.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
• Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
• Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
• No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
• Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
• Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.