bianlian - RunkIntel

# BianLian > [!warning] **BianLian** é um grupo de ameaça atribuído a **Russia** ativo desde **2022**. ## Visão Geral **BianLian** e um grupo de extorsao cibernética (anteriormente ransomware) ativo desde junho de 2022, atribuido com alta confiança a operadores **baseados na Russia** com múltiplos afiliados russos. O nome chinês ("变脸" = "mudar de rosto") e usado deliberadamente para **complicar atribuicao** - tática identificada pelo FBI/CISA em advisory de novembro de 2024. O grupo passou por tres fases operacionais: 1. **Dupla extorsao** (jun/2022 - ján/2023): criptografia + exfiltração 2. **Exfiltração prioritaria** (ján/2023 - ján/2024): ainda podia criptografar ocasionalmente 3. **Exfiltração exclusiva** (ján/2024 - presente): zero criptografia, apenas roubo de dados A taxa de pagamento de 52% em 2024 (vs media global de 29%) demonstra a eficacia das táticas de pressao psicológica do grupo. ## Timeline - Evolução do Modelo Operacional ```mermaid timeline title BianLian - Transformacao do Modelo de Extorsao Jun 2022 : Primeiras observacoes pela Arete IR : Modelo inicial de dupla extorsao Ján 2023 : Avast lanca decryptor publico : BianLian migra para exfiltração-only Mai 2023 : FBI/CISA/ASD primeiro advisory conjunto : Confirmacao de uso de backdoor em Go 2023 : Air Canada comprometida : Northern Minerals Australia comprometida Nov 2024 : Advisory atualizado FBI/CISA/ASD : Confirmacao de exfiltração exclusiva desde Ján 2024 2024 : 154 vitimas no portal de extorsao : Taxa de pagamento 52% (vs 29% media global) Mar 2025 : Cartas postais falsas usando nome BianLian : FBI confirma nao ser o grupo real ``` > [!danger] Taxa de Pagamento de 52% - Pressao Psicológica Extrema > O BianLian atingiu uma taxa de pagamento de **52% em 2024** comparada a media de 29% para todos os grupos de extorsao. Isso resulta de táticas de pressao extremamente agressivas: **ligacoes telefonicas repetidas** para funcionarios da empresa vitima, impressao de notas de resgaté em impressoras conectadas a rede comprometida, e ameaças específicas de consequências financeiras, de negocios e legais. > [!info] Pivot para Exfiltração Exclusiva - Resposta ao Decryptor > Quando a Avast lancou um **decryptor público** para o ransomware BianLian em janeiro de 2023, o grupo rapidamente abandonou a criptografia e migrou para **exfiltração exclusiva**. Desde janeiro de 2024, o grupo nao tenta mais criptografar arquivos - apenas rouba dados e ameaça públicar. Essa adaptacao rapida demonstra maturidade operacional. > [!warning] Backdoor em Go - Evasão Eficaz > O BianLian usa um **backdoor customizado escrito em Go** (linguagem de programacao), o que permite modificacoes rapidas do código para evadir detecção, dificulta análise por pesquisadores e aumenta a portabilidade entre plataformas. O grupo também renomeia binarios e tarefas com nomes de servicos e produtos legitimos do Windows para mascarar sua presenca. ## Attack Flow - Exfiltração Pura sem Criptografia (Desde 2024) ```mermaid graph TB A["🔓 Acesso Inicial Credenciais RDP de IABs ProxyShell CVE-2021-34473"] --> B["🐍 Backdoor Go Trojan em Go lang Evasão e persistência rapida"] B --> C["🔍 Coleta e Discovery PowerShell scripts SessionGopher + NTDS.dat"] C --> D["🌐 Exfiltração FTP / Rclone / Mega Ngrok + Rsocks para mascarar"] D --> E["💬 Extorsao Agressiva Sem criptografia (desde 2024) Ligacoes telefonicas diretas"] E --> F["📢 Publicacao no Leak Site Dados vazados se nao pagar Ameaças legais/financeiras"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef backdoor fill:#1a5276,color:#fff,stroke:#154360 classDef collect fill:#e67e22,color:#fff,stroke:#d35400 classDef exfil fill:#8e44ad,color:#fff,stroke:#6c3483 classDef extort fill:#196f3d,color:#fff,stroke:#145a32 classDef leak fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B backdoor class C collect class D exfil class E extort class F leak ``` ## Vitimas e Setores **Setores mais afetados (2024 - Juniper Networks):** 1. **Servicos Legais** - 23,7% das vitimas 2. **Saúde** - 18,3% das vitimas 3. **Engenharia** - 12,9% das vitimas 4. **Financas, Logistica, Manufatura** - distribuição restante **Vitimas notaveis:** - **Air Canada** - Comprometimento confirmado - **Northern Minerals** (Australia) - Empresa de mineracao critica - **Boston Children's Health Physicians** - Dados de pacientes pediatricos - Fabricante de roupas esportivas jápones (nao confirmado públicamente) - Clinicas medicas e práticas de dermatologia nos EUA Como de novembro de 2024, o grupo listou **154 vitimas** no portal de extorsao. ## Arsenal e Ferramentas - **Backdoor Go customizado** - Trojan em linguagem Go, facilmente modificavel - **Rclone** - Sincronizacao de dados para armazenamento na nuvem (Mega principalmente) - **Ngrok** - Reverse tunneling para mascarar C2 - **Rsocks modificado** - Proxy SOCKS5 customizado para mascarar trafego - **PsExec** - Execução remota e movimento lateral - **Mimikatz** - Dumping de credenciais LSASS - **SessionGopher** - Coleta de informações de sessao RDP/SSH - **Impacket secretsdump.py** - Extração de NTDS.dat - **Advanced Port Scanner / SoftPerfect** - Reconhecimento de rede ## Técnicas (TTPs) - **T1078** - Credenciais RDP de Initial Access Brokers - **T1133** - Remote Desktop Protocol para acesso inicial - **T1190** - ProxyShell (CVE-2021-34473/34523/31207) para Exchange - **T1090** - Ngrok e Rsocks para mascarar destino C2 - **T1537** - Transfer Data to Cloud Account (Mega via Rclone) - **T1048** - FTP para exfiltração de dados - **T1098** - Criação de contas Domain Admin e Azure AD para persistência - **T1068** - CVE-2022-37969 (Windows CLFS) para escalacao de privilegios - **T1003** - Dumping de credenciais (LSASS, NTDS.dat, SessionGopher) **Técnicas MITRE referênciadas:** [[t1078-valid-accounts|T1078]] · [[t1537-transfer-data-to-cloud-account|T1537]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] · [[t1090-proxy|T1090]] ## Relevância LATAM Embora o BianLian tenha foco primario nos EUA e Australia, o modelo de extorsao exclusivamente por dados (sem criptografia) e altamente eficaz contra organizacoes latino-americanas porque: 1. **Menor resiliencia de backup** - Muitas organizacoes LATAM nao tem backups adequados mas backups nao ajudam quando o modelo e exfiltração-only 2. **LGPD (Brasil)** - A ameaça de vazar dados de saúde, legais ou financeiros tem implicacoes regulatorias diretas no Brasil 3. **Servicos juridicos e saúde** - Setores prioritarios do grupo com alta concentracao de organizacoes no Brasil A tática de **ligacoes telefonicas diretas para funcionarios** e particularmente eficaz em culturas organizacionais onde autoridade hierarquica gera pressao de conformidade. ## Detecção e Defesa - Monitorar trafego de rede saindo por Ngrok, Rclone e conexoes FTP nao autorizadas - Detectar uso de Rsocks (proxy SOCKS5) em redes corporativas - Alertar para dumping de LSASS e acesso ao NTDS.dat - Restringir RDP externamente exposto com MFA obrigatoria - Monitorar criação de contas Domain Admin e Azure AD incomuns - Aplicar patches ProxyShell em servidores Exchange (CVE-2021-34473/34523/31207) - Implementar DLP para monitorar exfiltração via Mega e servicos cloud **Mitigação referênciada:** [[m1032-multi-factor-authentication|M1032]] · [[m1041-encrypt-sensitive-information|M1041]] · [[m1026-privileged-account-management|M1026]] ## Referências - [FBI/CISA/ASD Advisory - BianLian (Nov 2024)](https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/stopransomware-bianlian-ransomware-group) - [BleepingComputer - CISA BianLian Shift Data Theft Only](https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/) - [Arete IR - BianLian 2024-2025 Analysis](https://areteir.com/resources/bianlian-extortion-tactics-ransom-trends-fbi-update) - [Juniper Networks - BianLian 2024 Activity Analysis](https://blogs.juniper.net/en-us/security/bianlian-ransomware-group-2024-activity-analysis) - [Infosecurity Magazine - BianLian New Tactics (Nov 2024)](https://www.infosecurity-magazine.com/news/bianlian-ransomware-new-tactics/) **Setores alvejados:** [[legal|Servicos Juridicos]] · [[healthcare|Saúde]] · [[financial|Financeiro]] **CVEs explorados:** [[cve-2021-34473|CVE-2021-34473]] · [[cve-2022-37969|CVE-2022-37969]] · [[cve-2020-1472|CVE-2020-1472]]