BianLian Ransomware mit verschlüsselungsfreier Erpressung

Ransomware

Ransomware ohne Verschlüsselung, kann das für die Angreifer funktionieren? Die Gruppe hinter der Ransomware BianLian hat genau diesen Schritt vollzogen. Die Malware, die in der Sprache Go kodiert und als 64-Bit-Windows-System kompiliert wurde, trat zunächst mit einem doppelten Erpressungsansatz in Erscheinung. Sie wurde zur Infiltration von Netzwerken genutzt, um Systeme zu verschlüsseln und dann unter Androhung der öffentlichen Bloßstellung der gekidnappten Daten Lösegeld zu fordern. Nachdem ein Sicherheitshersteller ein leistungsfähiges Entschlüsselungsprogramm veröffentlichte, änderte die Gruppe ihre Strategie.

Sie verschlüsselten die kompromittierten Systeme nicht mehr, sondern konzentrierten sich ausschließlich auf den Diebstahl sensibler Daten und nutzten diese als Druckmittel, um ihre Opfer zu erpressen. Sowohl das Federal Bureau of Investigation (FBI) als auch das Australian Cyber Security Centre (ACSC) bestätigen dies, indem sie eine Verlagerung hin zu einer ausschließlich auf Exfiltration basierenden Erpressung mit intakten Systemen beobachtet haben.

Anzeige

Seit seinem Auftauchen im Juni 2022 hat sich BianLian zu einer gefürchteten Cyberkriminellengruppe entwickelt, die sich auf die Entwicklung, den Einsatz und die Erpressung von Daten mit ihrer berüchtigten Ransomware spezialisiert hat und mehr als 145 Unternehmen zum Opfer gefallen ist. Sie konzentrieren sich in erster Linie auf kritische Infrastrukturen in den USA und Australien sowie auf professionelle Dienstleistungen und Immobilienunternehmen. Seit Anfang des Jahres wurde bekannt, dass die Ransomware auch in der Schweiz in Hospitälern sein Unwesen treibt. BianLians Infiltrationstaktik beruht auf der Ausnutzung gültiger RDP-Anmeldeinformationen, der ProxyShell-Schwachstellenkette (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) und SonicWall VPN-Geräten. Darüber hinaus werden Open-Source-Tools und Befehlszeilenskripte für die Erkundung und das Abgreifen von Anmeldeinformationen genutzt. Sobald sie in die Systeme eines Opfers eingedrungen sind, schleusen sie sensible Daten über verschiedene Kanäle wie das File Transfer Protocol (FTP), Rclone oder Mega ein.

www.logpoint.com

Anzeige
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.