Home Sociedad Explosión de la actividad del nuevo grupo de ransomware, BianLian

Explosión de la actividad del nuevo grupo de ransomware, BianLian

Un nuevo grupo de ransomware que opera bajo el nombre de BianLian surgió a finales de 2021 y desde entonces es cada vez más activo.

El actor de la amenaza ya cuenta con veinte presuntas víctimas en varios sectores (seguros, medicina, derecho e ingeniería), según un documento de investigación de la empresa estadounidense de ciberseguridad Redacted, publicado el 1 de septiembre de 2022.

La mayoría de las organizaciones víctimas tienen su sede en Australia, Norteamérica y el Reino Unido.

El equipo de investigación no ha dado alguna atribución, todavía. Pero, cree que el actor de la amenaza “representa a un grupo de individuos que son muy hábiles en la penetración de la red, pero son relativamente nuevos en el negocio de la extorsión/ransomware.”

BianLian utiliza un kit de herramientas personalizado, que incluye cifradores caseros y puertas traseras de cifrado. Ambos, así como el software de comando y control (C&C) que utilizan los hackers, están escritos en Go, un lenguaje de programación cada vez más popular entre los actores de amenazas de ransomware.

Sin embargo, el equipo de investigadores de Redacted ha encontrado pruebas de que BianLian está tratando de mejorar su juego.

“A partir de agosto, observamos lo que parecía ser una explosión preocupante en el ritmo al que BianLian ponía en línea nuevos servidores [C&C]. [Aunque carecemos de conocimientos para saber la causa exacta de esta repentina explosión en el crecimiento, esto puede indicar que están listos para aumentar su ritmo operativo, aunque sea cual sea la razón, no hay nada bueno en que un operador de ransomware tenga más recursos disponibles”, advierte el aviso.

Para obtener el acceso inicial a las redes de las víctimas, BianLian suele dirigirse a la cadena de vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), a los dispositivos VPN de SonicWall o a los servidores que proporcionan acceso remoto a la red a través de soluciones como Remote Desktop,

Una vez en la red, BianLian puede tardar hasta seis semanas en iniciar el proceso de cifrado.

Esta facultad de adaptarse rápidamente es otra señal de que los miembros de BianLian tienen un alto nivel de habilidad en la penetración de la red.

Redacted recomendó un enfoque por capas para mitigar la amenaza que suponen los actores de ransomware como BianLian.