Forschungsbericht zur Ransomware BianLian

B2B Cyber Security ShortNews

Beitrag teilen

Die Gruppe hinter der Ransomware BianLian ist relativ unbekannt. Allerdings gehört sie bereits zur Top 10 der aktivsten Ransomware-Banden im Jahr 2023. Besonders Unternehmen in der Industrie und Gesundheitswesen stehen im Fokus der Gruppe.

Das Unit 42-Team von Palo Alto Networks hat heute einen neuen Forschungsbericht über die Gruppe hinter der Ransomware BianLian veröffentlicht. Diese zählt laut Leak-Site-Datenanalysen von Unit 42 zu den Top 10 der aktivsten Ransomware-Banden im Jahr 2023.

Der Report zeigt wichtigste Erkenntnisse zu BianLian. Die Gruppe zielt vor allem auf das Gesundheitswesen, die verarbeitende Industrie sowie den professionellen und juristischen Dienstleistungssektor. Ihre Angriffe fanden hauptsächlich in Nordamerika statt, wurden aber auch in der EU und in Indien beobachtet.

BianLian: Mehr Erpressung ohne Verschlüsselung

Die Gruppe ist von einem „Double-Extortion“-Schema direkt zum Datendiebstahl übergegangen, um die Opfer zur Zahlung zu bewegen (anstatt die Vermögenswerte ihrer Opfer vorerst zu verschlüsseln). Schließlich ist das Ver- und Entschlüsseln, sowie das pflegen der C2-Server sehr aufwendig. Plattformen wie NoMoreRansom bieten auch immer mehr Entschlüsselungstools an.

Unit 42 beobachtete, dass die BianLian-Gruppe eine kleine, angepasste, benutzerdefinierte .NET-Executable mit der Makop-Ransomware-Gruppe teilt, was auf eine mögliche Verbindung zwischen den Gruppen hindeutet. Dabei fällt auf, dass das NET-Tool einige Wörter in russischer Sprache, z. B. die Zahlen eins bis vier enthält. Beide Gruppen verwendeten außerdem denselben Hash des öffentlich verfügbaren Tools Advanced Port Scanner.

Unit 42 Incident Responder haben seit dem Auftauchen der Gruppe im September 2022 mehrere BianLian-Ransomware-Vorfälle bearbeitet. Der Aufstieg der Gruppe sorgt wohl für eine Epansion. Die Leak Site der Gruppe deutet zumindest darauf hin, da man dort neue Entwickler und Mitglieder sucht.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen

Die Bumblebee-Malware ist wieder da

Die Bumblebee-Malware wird nach mehrmonatiger Abwesenheit wieder von Cyberkriminellen eingesetzt. IT-Sicherheitsexperten konnten kürzlich eine E-Mail-Kampagne identifizieren, die die Marke des ➡ Weiterlesen

Microsoft Defender lässt sich austricksen

In Microsofts Virenschutzprogramm Defender steckt eine Komponente, die eine Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll. Dieser ➡ Weiterlesen

Ransomware-Attacke auf IT-Dienstleister

Ein in Schweden stationiertes Rechenzentrum des finnischen IT-Dienstleisters Tietoevry wurde kürzlich mit Ransomware angegriffen. Zahlreiche Unternehmen, Behörden und Hochschulen sind ➡ Weiterlesen

Bedrohungspotenzial durch staatliche Akteure

Das Ausmaß der aktuellen Bedrohungslage veranschaulicht ein Cyberangriff, der sich vor kurzem in der Ukraine ereignet hat. Laut dem staatlichen ➡ Weiterlesen

Globale Bedrohungen: Datenschutz für lokale Daten

Ransomware-Angriffe, Data Stealer-Attacken, Exploits für Schwachstellen: Auch wenn die Attacken global ablaufen, so zielen sie doch auf eine lokale, teile ➡ Weiterlesen