# BianLian - Campanha de Extorsão > [!high] Grupo evoluiu para extorsão pura sem criptografia > O **BianLian** é um grupo de ameaça ativo desde 2022 que passou por uma evolução táctica marcante: inicialmente operando como ransomware dupla extorsão, migrou em 2023 para um modelo de **extorsão pura** - ameaçando públicar dados roubados sem criptografar arquivos. O [[bianlian-backdoor]], desenvolvido em Go, fornece acesso persistente às redes comprometidas. ## Visão Geral O BianLian surgiu em junho de 2022 como um grupo de ransomware que rapidamente ganhou notoriedade por ataques a organizações de infraestrutura crítica, especialmente no setor de saúde. O nome "BianLian" (变脸 em chinês, significando "mudança de rosto") é uma referência à arte tradicional chinesa Sichuan de troca rápida de máscaras - uma escolha irônica dado que o grupo demonstrou literalmente "mudar de face" em sua estratégia operacional. Uma análise públicada conjuntamente pelo FBI, CISA e ACSC (Australian Cyber Security Centre) em maio de 2023 documentou a pivotagem do grupo: após uma empresa de segurança (Avast) lançar um decryptor público para o ransomware BianLian em janeiro de 2023, o grupo abandonou a criptografia e passou a extorquir vítimas apenas com a ameaça de vazar dados previamente roubados. O [[bianlian-backdoor]], desenvolvido em Go, é o componente técnico central. A escolha de Go reflete o mesmo padrão observado em outros grupos modernos como [[g0138-andariel]] com o [[dorarat]] - linguagem que produz binários standalone difíceis de detectar por assinaturas tradicionais. O backdoor é utilizado para manter acesso persistente durante o processo de reconhecimento e exfiltração de dados. Para o Brasil e LATAM, o BianLian tem relevância crescente: a CISA incluiu o grupo em alertas de infraestrutura crítica global, e o setor de [[healthcare]] latino-americano é um alvo consistente de grupos de extorsão. A migração para extorsão pura (sem criptografia) é especialmente preocupante pois dificulta a detecção - sistemas continuam operacionais enquanto dados são silenciosamente exfiltrados. > [!latam] Relevância para o Brasil > O **BianLian** é ameaça direta ao Brasil: o grupo confirma alvos na **Austrália, Reino Unido e EUA** e tem expandido para outros países. O modelo de extorsão pura (sem criptografia) é especialmente perigoso para o setor de **saúde brasileiro** — hospitais e operadoras de planos de saúde que possuem dados sensíveis de pacientes são alvos de alto valor. A técnica de exfiltração silenciosa via **Rclone** é difícil de detectar sem DLP e monitoramento de transferências de dados. ## Análise Técnica ### Evolução do Modelo de Ataque ```mermaid graph TB subgraph "BianLian: Mudança de Estratégia" A["Jun 2022<br/>Ransomware Tradicional<br/>Criptografia + Extorsão"] --> B["Jan 2023<br/>Avast lança Decryptor<br/>Criptografia neutralizada"] B --> C["2023+<br/>Extorsão Pura<br/>Só roubo de dados"] C --> D["Resultado<br/>Operação mais furtiva<br/>Difícil detecção"] end ``` ### Cadeia de Acesso e Exfiltração ```mermaid graph TB A["🔓 Acesso Inicial<br/>RDP comprometido / ProxyShell"] --> B["🔧 Implantação do BianLian Backdoor<br/>Go binary + registro persistência"] B --> C["🔍 Reconhecimento Extensivo<br/>Semanas a meses de dwell time"] C --> D["📤 Exfiltração Silenciosa<br/>Rclone / FTP para staging"] D --> E["📋 Nota de Extorsão<br/>Ameaça de publicação"] E --> F{"Pagou?"} F -->|Sim| G["🤐 Dados não publicados<br/>Acordo de silêncio"] F -->|Não| H["💀 Publicação no site BianLian<br/>Vergonha pública"] ``` ### Setores Prioritariamente Afetados | Setor | Justificativa para Valor | |-------|--------------------------| | Healthcare | Dados de pacientes altamente sensíveis / regulação HIPAA | | Infraestrutura crítica | Operações essenciais, pressão para pagamento | | Serviços financeiros | Dados financeiros de alto valor | | Profissionais e legais | Informações privilegiadas / confidenciais | | Manufatura | Propriedade intelectual valiosa | ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração ProxyShell / Exchange | | External Remote Services | [[t1133-external-remote-services\|T1133]] | RDP comprometido para acesso inicial | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Fase inicial (abandonada em 2023) | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração com Rclone | | Data Transfer Size Limits | [[t1030-data-transfer-size-limits\|T1030]] | Exfiltração fragmentada para evadir DLP | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - BianLian Campaign (TLP:GREEN) > **Artefatos do BianLian backdoor:** > - Binários Go sem assinatura em diretórios de sistema > - Processos com nomes similares a serviços Windows legítimos > > **Ferramentas de exfiltração:** > - Presença de Rclone configurado para serviços cloud externos > - Uso de clientes FTP em servidores de produção > > **Comportamento de rede:** > - Grandes transferências de dados para serviços cloud em horários atípicos > - Conexões RDP de IPs incomuns ou de países não esperados > > **Fontes:** [CISA Advisory AA23-136A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-136a) · [FBI Alert - BianLian](https://www.ic3.gov) ### Mitigações 1. **Proteção de RDP**: Desabilitar RDP desnecessário; usar VPN + MFA para acesso remoto legítimo 2. **Monitoramento de exfiltração**: Alertas para grandes volumes de transferência via Rclone ou FTP 3. **Exchange/OWA patching**: Manter Exchange atualizado para prevenir ProxyShell 4. **DLP (Data Loss Prevention)**: Políticas que detectem e bloqueiem exfiltração em massa 5. **Network segmentation**: Limitar acessibilidade de dados sensíveis de healthcare via segmentação ## Referências - [CISA Advisory AA23-136A - BianLian Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-136a) - [Avast BianLian Decryptor Release](https://www.avast.com/ransomware-decryption-tools) - [FBI-CISA-ACSC Joint Alert](https://www.cisa.gov)