Forschungsbericht zur Ransomware BianLian

B2B Cyber Security ShortNews

Beitrag teilen

Die Gruppe hinter der Ransomware BianLian ist relativ unbekannt. Allerdings gehört sie bereits zur Top 10 der aktivsten Ransomware-Banden im Jahr 2023. Besonders Unternehmen in der Industrie und Gesundheitswesen stehen im Fokus der Gruppe.

Das Unit 42-Team von Palo Alto Networks hat heute einen neuen Forschungsbericht über die Gruppe hinter der Ransomware BianLian veröffentlicht. Diese zählt laut Leak-Site-Datenanalysen von Unit 42 zu den Top 10 der aktivsten Ransomware-Banden im Jahr 2023.

Der Report zeigt wichtigste Erkenntnisse zu BianLian. Die Gruppe zielt vor allem auf das Gesundheitswesen, die verarbeitende Industrie sowie den professionellen und juristischen Dienstleistungssektor. Ihre Angriffe fanden hauptsächlich in Nordamerika statt, wurden aber auch in der EU und in Indien beobachtet.

BianLian: Mehr Erpressung ohne Verschlüsselung

Die Gruppe ist von einem „Double-Extortion“-Schema direkt zum Datendiebstahl übergegangen, um die Opfer zur Zahlung zu bewegen (anstatt die Vermögenswerte ihrer Opfer vorerst zu verschlüsseln). Schließlich ist das Ver- und Entschlüsseln, sowie das pflegen der C2-Server sehr aufwendig. Plattformen wie NoMoreRansom bieten auch immer mehr Entschlüsselungstools an.

Unit 42 beobachtete, dass die BianLian-Gruppe eine kleine, angepasste, benutzerdefinierte .NET-Executable mit der Makop-Ransomware-Gruppe teilt, was auf eine mögliche Verbindung zwischen den Gruppen hindeutet. Dabei fällt auf, dass das NET-Tool einige Wörter in russischer Sprache, z. B. die Zahlen eins bis vier enthält. Beide Gruppen verwendeten außerdem denselben Hash des öffentlich verfügbaren Tools Advanced Port Scanner.

Unit 42 Incident Responder haben seit dem Auftauchen der Gruppe im September 2022 mehrere BianLian-Ransomware-Vorfälle bearbeitet. Der Aufstieg der Gruppe sorgt wohl für eine Epansion. Die Leak Site der Gruppe deutet zumindest darauf hin, da man dort neue Entwickler und Mitglieder sucht.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Qcell: APT-Gruppe Abyss veröffentlicht 5,4 TeraByte Daten

Wieder gab es wohl einen großen Datendiebstahl bei einem deutschen Unternehmen. Es hat wohl den Solarzellen-Anbieter Qcells erwischt. Die APT-Gruppe ➡ Weiterlesen

Flugsicherung DFS von Hackern attackiert

Die Deutsche Flugsicherung (DFS) wurde von Hackern angegriffen. Ziel des Cyberangriffs war wohl nach ersten Erkenntnissen die administrative IT-Infrastruktur. Allerdings ➡ Weiterlesen

Phishing: Angriffe mit Infostealer zur Datenexfiltration

Threat-Analysten haben Phishing-Angriffe beobachtet, bei denen ein fortschrittlicher, verdeckter Ansatz zum Einsatz kommt, um besonders große Mengen an sensiblen Daten ➡ Weiterlesen

Qilin-Ransomware stiehlt Anmeldedaten aus Chrome

Bei einer Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten ➡ Weiterlesen

Wer nicht zahlt: Ransomware-Gruppen machen mehr Druck

Ein neuer Report zeigt, wie die Ransomware-Gruppen Informationen zu halblegalen Aktivitäten aus gestohlenen Daten nutzen, um die Opfer zur Zahlung ➡ Weiterlesen

Index meistverbreiteter Malware im Juli 2024

Der aktuelle Threat Index zeigt, dass RansomHub weiterhin die aktivste Ransomware-Gruppe ist. Gleichzeitig haben die Forscher eine Remcos-Windows-Malware-Kampagne identifiziert, die ➡ Weiterlesen

Microsoft schließt Schwachstelle in Azure Health Bot Service

Die in Microsofts Azure Health Bot Service gefundene kritische Schwachstelle wurde inzwischen geschlossen. Mit ihr war ein Server-Side Request Forgery (SSRF) ➡ Weiterlesen

Ransomware – Das sind die aktiven Gruppen 

Die Welt der Cyberkriminellen in Sachen Ransomware steht niemals still. Ein ständiger Wandel bringt regelmäßig neue Akteure hervor, die durch ➡ Weiterlesen