bianlian-group - RunkIntel

# BianLian > [!danger] Grupo Ransomware — Pivot para Extorsão Pura sem Criptografia > **BianLian** é um grupo de ransomware-as-a-service (RaaS) que, após o FBI disponibilizar decryptor público em 2023, **migrou para extorsão pura** — rouba dados e ameaça vazar sem criptografar. Alvo prioritário do setor de saúde e infraestrutura crítica nos EUA e Austrália. ## Visão Geral BianLian é um grupo de extorsão cibernética ativo desde agosto de 2022, inicialmente operando como ransomware tradicional com criptografia de arquivos. Em janeiro de 2023, após a Avast lançar um decryptor público para o ransomware BianLian, o grupo adaptou rapidamente sua estratégia — abandonando a criptografia e migrando para **extorsão pura via exfiltração de dados** (exfiltration-only ransomware). Essa adaptação rápida demonstra a capacidade de resiliência do grupo. Em vez de criptografar sistemas e cobrar pela chave de descriptografia, o BianLian agora foca em roubar dados sensíveis e ameaçar vazar públicamente caso o resgate não seja pago. Isso elimina a necessidade de desenvolver e manter um encryptor funcional e evita que ferramentas de recuperação tornem o ataque inútil. O CISA, FBI e ACSC australiano emitiram advisory conjunto sobre o BianLian em maio de 2023, identificando o grupo como uma ameaça significativa ao setor de saúde e infraestrutura crítica. O grupo usa RDP comprometido como vetor primário de acesso inicial. ## Attack Flow ```mermaid flowchart LR A[Acesso Inicial\nRDP com credenciais\ncompradas no underground] --> B[Reconhecimento\nBloodHound / SharpHound\nMapeamento AD] B --> C[Movimento Lateral\nRDP / PsExec\nCredenciais de domínio] C --> D[Exfiltração\nRclone / Mega\nDados sensíveis] D --> E[Extorsão\nAmeaça de vazamento\nSem criptografia] E --> F[Leak Site\nVitímas publicadas\nContagem regressiva] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | RDP Comprometido | [[t1021-remote-services\|T1021]] | Acesso via credenciais RDP do underground | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de domínio comprometidas | | Exfiltração via Cloud | [[t1567-exfiltration-over-web-service\|T1567]] | Rclone para Mega ou outros cloud storage | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Reconhecimento e movimento lateral | ## Detecção e Defesa - Bloquear ou monitorar rigidamente o uso de Rclone e ferramentas de sync de cloud - Implementar monitoramento de transferências de dados em larga escala fora do horário comercial - Desabilitar RDP exposto à internet — usar sempre VPN com MFA - Aplicar [[m1032-multi-factor-authentication|M1032]] em todas as contas com acesso RDP - Monitorar [[ds0028-logon-session|DS0028]] para logins RDP em horários e IPs incomuns ## Referências - CISA/FBI/ACSC Advisory AA23-136A: BianLian ransomware group (2023) - Avast: BianLian decryptor release (2023) - Microsoft MSTIC: BianLian extortion-only pivot (2023) - Sophos: BianLian group analysis and TTPs (2022) - FBI Flash: BianLian indicators of compromise (2023)