Les opérateurs du ransomware multiplateforme émergent BianLian ont augmenté leur infrastructure de commande et de contrôle (C2) ce mois-ci, une évolution qui fait allusion à une augmentation du rythme opérationnel du groupe.

BianLian, écrit dans le langage de programmation Go, a été découvert pour la première fois à la mi-juillet 2022 et a revendiqué 15 organisations victimes au 1er septembre, société de cybersécurité [redacted] dit dans un rapport partagé avec The Hacker News.

Il convient de noter que la famille des ransomwares à double extorsion n’a aucun lien avec un cheval de Troie bancaire Android du même nom, qui cible les applications bancaires mobiles et de crypto-monnaie pour siphonner des informations sensibles.

L’accès initial aux réseaux victimes est obtenu grâce à l’exploitation réussie des failles ProxyShell Microsoft Exchange Server, en l’utilisant pour supprimer un shell Web ou une charge utile ngrok pour les activités de suivi.

« BianLian a également ciblé les appareils VPN SonicWall à exploiter, une autre cible courante pour les groupes de rançongiciels », [redacted] chercheurs Ben Armstrong, Lauren Pearce, Brad Pittack et Danny Quist a dit.

Contrairement à un autre nouveau malware Golang appelé Agenda, les acteurs BianLian présentent des temps d’arrêt pouvant aller jusqu’à six semaines entre le moment de l’accès initial et l’événement de chiffrement réel, une durée bien supérieure à la temps de séjour médian des intrus de 15 jours rapportés en 2021.

En plus de tirer parti des techniques de vie hors de la terre (LotL) pour le profilage du réseau et le mouvement latéral, le groupe est également connu pour déployer un implant personnalisé comme moyen alternatif pour maintenir un accès persistant au réseau.

L’objectif principal de la porte dérobée, par [redacted]consiste à récupérer des charges utiles arbitraires à partir d’un serveur distant, à les charger en mémoire, puis à les exécuter.

BianLian, similaire à Agenda, est capable de démarrer des serveurs en mode sans échec Windows pour exécuter son logiciel malveillant de cryptage de fichiers tout en restant non détecté par les solutions de sécurité installées sur le système.

Parmi les autres mesures prises pour contourner les barrières de sécurité, citons la suppression des clichés instantanés, la purge des sauvegardes et l’exécution de son module de cryptage Golang via la gestion à distance de Windows (WinRM) et les scripts PowerShell.

Le premier serveur C2 connu associé à BianLian serait apparu en ligne en décembre 2021. Mais l’infrastructure a depuis connu une « explosion troublante » pour dépasser 30 adresses IP actives.

Selon Cyble, qui détaillé le modus operandi du ransomware plus tôt ce mois-ci, les entreprises ciblées couvrent plusieurs secteurs industriels tels que les médias, la banque, l’énergie, la fabrication, l’éducation, la santé et les services professionnels. La majorité des entreprises sont basées en Amérique du Nord, au Royaume-Uni et en Australie.

BianLian est une autre indication des efforts dévoués des cybercriminels pour continuer à sauter des tactiques afin d’éviter la détection. Cela ajoute également à un nombre croissant de menaces utilisant Go comme langage de base, permettant aux adversaires d’apporter des modifications rapides dans une seule base de code qui peut ensuite être compilée pour plusieurs plates-formes.

« BianLian s’est montré habile avec la méthodologie Living of the Land (LOL) pour se déplacer latéralement, ajustant ses opérations en fonction des capacités et des défenses rencontrées dans le réseau », ont déclaré les chercheurs.