ランサムウェア 攻撃 グループ「BianLian」とは概要や事例を解説
この記事ではサイバー攻撃・ランサムウェア 攻撃 グループBianLianについて解説します。
ランサムウェア 攻撃 グループ「BianLian」とは
CISAのレポートによるとBianLianは、2022年6月以降に米国およびオーストラリアの重要インフラや企業を標的に攻撃を仕掛けるランサムウェアグループです。
このランサムウェア グループは拠点は不明ですが、ロシア語を利用しておりロシア語圏の国をターゲットとせず米国やオーストラリア、ヨーロッパを標的としています。
以下は2023年にBianLianが攻撃を行った国別のチャート図で米国が一番被害を受けています。
画像:UNIT42
当初はデータ暗号化と公開を脅しに使う「二重恐喝」モデルを採用していましたが、2023年初頭以降は暗号化をせずデータ公開のみによる恐喝にシフトしました。
このグループは、有効なリモートデスクトッププロトコル(RDP)認証情報の悪用やフィッシング攻撃で初期アクセスを取得し、その後ネットワーク内での情報収集や権限昇格、データの外部送信を行います。
サイバー攻撃や不正アクセスを行った事例
・アメリカのデータベース企業 Better Business Bureau
・アメリカの大手皮膚科医院 US Dermatology Partners
・アメリカのボストン小児医療医師会(BCHP)
・オーストラリアの鉱山企業ノーザン・ミネラルズ
・日系メーカーのベトナム法人
名前の由来
なお「BianLian(変臉 日本語で変面)」は、中国の伝統的な演劇やオペラの一種である川劇(四川オペラ)の技法を指し、「顔の変化」を意味します。この技法では、出演者が瞬時に顔の仮面を次々と変えることで観客を魅了します。
BianLianランサムウェアグループの名称は、このグループが攻撃手法や戦術を状況に応じて柔軟に変える能力を持つことを暗示しているようです。
ランサムウェア攻撃の流れ
- 初期アクセス: 有効なRDP認証情報やフィッシングでネットワークに侵入。
- コマンド&コントロール: Go言語で開発したバックドアやリモート管理ツール(TeamViewerやAnyDeskなど)を使用。
- 防御回避: PowerShellやWindowsコマンドシェルを用いて、Windows Defenderなどのアンチウイルスソフトを無効化。
- 情報収集: ネットワークスキャナ(Advanced Port Scanner)やPingCastleを使用してネットワーク構造を把握。
- 資格情報の取得: LSASSプロセスのメモリから資格情報をダンプ。
- 横展開: 有効なアカウントを用いてRDPを介し、ネットワーク内を移動。
- データ収集と外部送信: PowerShellスクリプトで機密データを特定し、FTPやクラウドサービス(Megaなど)を介して送信。