BianLian : la menace des ransomware qui change de visage

Le monde de la cybercriminalité ne manque pas de noms de marques étranges. Les acteurs de la menace aiment intimider les gens et projeter l’image d’une menace forte et furtive. Le ransomware « Bob's » n'est tout simplement pas aussi effrayant que REvil ou Hive, qui ont tous deux un côté « Resident Evil » plus perturbant. Et puis il y a Rhysida, qui est un nom approprié pour désigner un ransomware, mais réservé à ceux qui savent ce qu'est un Rhysida. J'ai dû moi-même m'informer. Et RansomHub ressemble tout simplement à une application de rencontre louche. 

Aujourd'hui, nous sommes confrontés à une menace de ransomware appelée BianLian, et ce groupe a pris une décision de dénomination que je respecte. Le Bian Lian original, prononcé « bee-yen lee-yen », est une forme d'art traditionnelle chinoise intégrée à l'opéra du Sichuan. Le nom se traduit par « changement de visage », en référence aux transitions rapides des artistes entre les masques de théâtre qui représentent différents personnages et états émotionnels. Des tours de passe-passe et d’autres techniques sont utilisés pour changer de masque presque instantanément. Vous pouvez voir un exemple dans la vidéo ci-dessous.

C'est comme de la magie.

L'acteur de la menace BianLian n'a rien à voir avec l'art magnifique du Bian Lian, mais le nom « changeant de visage » est tout à fait approprié.

Naissance de BianLian

Une infrastructure associée à Bianlian a été détectée dès décembre 2021, et les experts pensent que le groupe développait activement ses outils à cette époque. Le ransomware est apparu en juillet 2022 et, fin août, le groupe avait triplé son infrastructure de commandement et de contrôle (C2) et avait répertorié des victimes dans plusieurs secteurs.

Certains experts ont émis l'hypothèse que BianLian était une nouvelle marque ou une filiale du groupe Pysa en raison de la similitude des tactiques, techniques et procédures (TTP) et d'un calendrier d'activités observable. Aucun avis officiel ou analyse détaillée n’a publié de preuves à l’appui de cette théorie. Au contraire, les chercheurs de Recorded Future ont émis l'hypothèse que BianLian était un véritable nouveau venu sur la scène des ransomware en 2022. Ils ont publié ces observations à l’époque :

...À toutes fins utiles, le groupe BianLian semble représenter une nouvelle entité dans l'écosystème des ransomware. En outre, nous estimons que les acteurs de BianLian représentent un groupe d'individus très compétents en matière de pénétration de réseaux, mais relativement novices dans le domaine de l'extorsion et des ransomware. 

…

Si l'acteur a prouvé qu'il était capable de compromettre le réseau d'une victime, nous avons vu l'acteur :

• Envoyer par erreur des données d'une victime à une autre.
• Posséder une boîte à outils de portes dérobées relativement stable, mais avoir un outil de chiffrement en développement actif avec une note de rançon évolutive.
• Avoir des longs délais dans les communications avec les victimes.
• Avoir, de l'aveu même du groupe sur leur site Onion, un aspect commercial de leur infrastructure peu fiable.

BianLian a mûri depuis lors, et le groupe a peut-être recruté de nouveaux membres plus expérimentés dans les opérations de ransomware. Ce que nous savons avec certitude, c'est qu'en deux ans d'activité environ, BianLian a pris pour cible des entreprises de toutes tailles dans le monde entier.

La localisation exacte des acteurs de la menace BianLian semble inconnue, mais le groupe utilise la langue russe dans ses communications et ne cible pas les pays russophones. Leur activité s'est fortement concentrée sur les victimes aux États-Unis, en Australie et en Europe. La plupart de ces attaques visent des fabricants et des organismes de santé aux États-Unis. Le groupe ne semble pas être affilié à une idéologie ou à un État-nation. BianLian cherche juste à gagner de l'argent, et son profil ici est typique des groupes de ransomware motivés par l'argent. Mis à part la politique et les questions socio-économiques, le groupe veut opérer depuis un endroit qui ne coopère pas avec les forces de l’ordre dans les pays qu’ils ciblent.

BianLian et chiffrement

BianLian a mérité son nom ces dernières années. Le ransomware est écrit en Go (ou GoLang), ce qui a simplifié le processus de mise à jour du code pour améliorer la fonctionnalité, la furtivité et la persistance. Ce développement continu a donné lieu à plusieurs versions du ransomware BianLian, presque toujours en réponse à de nouvelles mesures de sécurité. Le groupe a également peaufiné le code afin d'améliorer la vitesse et les performances de son ensemble d'outils. Le changement le plus notable, cependant, a été le passage opérationnel du groupe à l’exfiltration de données plutôt qu’au chiffrement en 2023.

Le ransomware BianLian présentait quelques vulnérabilités lors de son lancement en 2022. Les premières versions utilisaient des algorithmes de chiffrement défectueux ou une implémentation défaillante, ce qui permettait de déchiffrer des fichiers sans payer de rançon pour obtenir une clé de déchiffrement. En janvier 2023, des chercheurs Avast ont mis à la disposition du public un décrypteur BianLian gratuit, ce qui a entraîné des pertes considérables pour l'auteur de la menace. Le ransomware BianLian s'appuie également sur la communication avec des serveurs de commande et de contrôle (C2) pour les clés de chiffrement, et le blocage de l'accès à ces serveurs bloquerait le processus de chiffrement. Un outil de surveillance du réseau pourrait accomplir cette tâche avec une automatisation simple.

BianLian a réagi à ces failles et au décrypteur accessible au public en améliorant les fonctionnalités de furtivité et de persistance des portes dérobées de son ensemble d'outils, y compris la communication C2, et en s'appuyant sur l'aspect exfiltration de données de la menace. L’utilisation de « ransomwares sans extorsion » se développe, car de nombreux acteurs malveillants ont réalisé que les entreprises sont moins disposées à payer pour le déchiffrement qu’à préserver la confidentialité de leurs données. La plupart des groupes de ransomware utilisent encore le chiffrement comme couche supplémentaire d’extorsion, mais les données volées constituent aujourd’hui le véritable argent. 

Lorsque BianLian exécute un binaire de ransomware, les fichiers sont renommés et une note de rançon est générée.

Il n’y a aucun moyen de savoir combien BianLian a coûté à l’économie américaine ou mondiale, mais nous pouvons l’arrondir à « beaucoup ». Aux États-Unis, le coût moyen d'une atteinte aux soins de santé a atteint près de 11 millions de dollars l'année dernière . Le coût par incident pour les fabricants est plus faible, mais continue d’augmenter. Ces secteurs sont les cibles privilégiées de BianLian et de nombreux autres acteurs de la menace.

Comment opère BianLian

Les infections par le ransomware BianLian commencent souvent par un e-mail de phishing, des identifiants compromis ou une vulnérabilité. Ces tactiques sont courantes pour les acteurs de la menace, il n’y a donc rien de spécial à propos de BianLian à ce sujet. Mais nous devrions profiter de cette occasion pour nous rappeler (et à tous ceux que nous connaissons) que la protection de nos identifiants est d'une importance capitale. Des listes telles que RockYou2024 et Collection #1 permettent aux pirates de créer de nouvelles listes avec des milliards de combinaisons uniques d'e-mails et de mots de passe à utiliser dans des attaques automatisées.  Les identifiants ont toujours été précieuses pour les acteurs de la menace, et voler, deviner ou trouver des identifiants est beaucoup plus facile avec l'aide de l'IA.  De nombreux acteurs de la menace se contenteront d'acheter des jeux d'identifiants à des tiers spécialisés dans la vente d'accès à des systèmes compromis.

Une fois que BianLian a infiltré un système, il établit la persistance, le contrôle et la redondance en déployant de multiples portes dérobées qui agissent également comme des chargeurs. La porte dérobée BianLian télécharge et exécute d'autres malware sur le système et contient les informations nécessaires pour communiquer avec les serveurs C2. Cette porte dérobée permet aux pirates d'exécuter des commandes et d'exfiltrer les données comme ils le souhaitent, ce qui en fait un élément important de l'attaque BianLian.

Une fois les portes dérobées et autres outils établis, BianLian tente d’élever les privilèges du compte et de désactiver les politiques de sécurité. Le groupe utilise des utilitaires système légitimes pour se déplacer latéralement dans le réseau afin de trouver et de voler des données à l'aide d'un outil d'exfiltration de données personnalisé qu'il partage avec le ransomware Makop. À ce stade, l’attaque peut exécuter un binaire de chiffrement. En cas d'échec, ils demanderont juste une rançon pour les données volées :

« Notre activité dépend encore plus que beaucoup d’autres de la réputation. Si nous acceptons de l'argent et diffusons vos informations, nous aurons des problèmes de paiement à l'avenir. Nous nous en tiendrons donc à nos promesses et à notre réputation. Cela fonctionne dans les deux sens : si nous disons que nous allons envoyer un e-mail à tout votre personnel et diffuser publiquement toutes vos données, nous le ferons.  (Via Redacted)

Le groupe BianLian personnalise ces messages, les élaborant de manière à augmenter la pression sur la victime. Ces messages personnalisés font généralement référence aux ramifications juridiques et aux problèmes de réglementation auxquels l'entreprise serait confrontée si la violation de données était rendue publique. Ces informations peuvent être tirées des données qui ont été exfiltrées, ou le groupe peut rechercher les victimes d'une autre manière.

En avril 2024, le ministère américain de la Santé et des Services sociaux a désigné BianLian comme le troisième acteur de menaces le plus prolifique contre le secteur public de la santé. 

Les amis et la famille de BianLian

Rien ne prouve que BianLian soit une nouvelle marque ou une filiale d'un autre groupe. Il y a un certain recoupement avec d'autres groupes de ransomware, mais uniquement en ce qui concerne les TTP les plus couramment utilisés :

Cela ne veut pas dire que BianLian opère seul. Le groupe partage un outil d'exfiltration de données avec le groupe Makop ransomware, ce qui peut indiquer une collaboration ou un partage de ressources. BianLian a également rejoint les groupes White Rabbit et Mario Ransomware dans le cadre d'une campagne d'extorsion conjointe en décembre 2023. Vous trouverez les détails de cette campagne ici.

En résumé :

BianLian veut simplement vendre vos données, et surtout vous les revendre. Ils partent du principe que vous aurez besoin des données plus que quiconque et que vous paierez plus cher que quiconque. Si vous ne voulez pas les payer, ils seront ravis de les vendre à quelqu'un d'autre. Peu importe qui les paie tant qu’ils ont assez d’argent pour acheter plus d’identifiants volés afin qu’ils puissent voler plus de données. Peut-être qu'ils vous voleront encore le vôtre. Peut-être qu'ils l'ont déjà fait.

La beauté artistique de Bian Lian consiste à étonner le public avec des rebondissements surprenants et des masques colorés. Ne laissez pas cet horrible groupe de ransomware vous surprendre avec son prochain tour. Protégez vos identifiants, gardez vos logiciels à jour et assurez-vous que votre entreprise dispose d'une protection fiable contre les ransomwares.

Saviez-vous que... 

Les recherches de Barracuda ont révélé que la plupart des entreprises ont subi une attaque par ransomware, et qu'un tiers d'entre elles en ont subi deux ou plus. Barracuda propose des solutions qui défendent vos données contre les ransomware et autres attaques, y compris les menaces les plus sophistiquées renforcées par l'IA. Consultez notre page dédiée aux solutions contre les ransomware pour télécharger notre checklist gratuite pour la protection contre les ransomware et nos dernières recherches sur les ransomware à l'ère de l'IA.