BianLian

BianLian es un operador de ransomware que fue observado por primera vez en julio de 2022. Este grupo comenzó dando nombre a un troyano bancario y, aunque ha afectado a diferentes sectores, destaca por sus ataques sobre infraestructuras críticas, especialmente hospitales. 

A pesar de que el nombre del grupo es de origen asiático y hace referencia al arte de “cambiar de cara” dentro del arte dramático chino, se han encontrado registros que incluyen elementos en ruso en su código fuente, lo cual podría ser una pista sobre el origen real de este grupo.

Los actores detrás de BianLian seguían un modelo de doble extorsión, característica en común con otras familias de ransomware como Cl0p, LockBit, BlackCat/ALPHV y otros. Tras comprometer los sistemas de la víctima, seguían un modelo clásico de ransomware: exfiltrando información sensible de la compañía previamente al cifrado de los equipos y amenazando con publicar esa información como mecanismo para presionar a la víctima a pagar el rescate solicitado.

En enero de 2023, la firma antivirus Avast publicó un descifrador para esta familia de ransomware basado en las muestras que se habían podido localizar hasta esa fecha. Desde entonces, el grupo se ha centrado exclusivamente en la extorsión basada en exfiltración como consecuencia de este descifrador, reduciendo así la complejidad de sus ataques y el impacto a las entidades, que no ven sus actividades interrumpidas.

El código de BianLian está programado en el lenguaje Go, un lenguaje que está adquiriendo cierta popularidad entre los desarrolladores de malware. El operador es conocido por utilizar credenciales robadas o vulnerabilidades como Proxyshell para conseguir acceso inicial a los sistemas de sus víctimas.Desde su puesta en marcha, el número de víctimas publicado en su web .onion ha ido aumentando significativamente. En septiembre de 2023, el grupo afirmó haber exfiltrado 1,7 TB de datos, incluyendo información personal sobre pacientes y empleados, del hospital “ST Rose Hospital” en California. Dentro de los datos robados, se encontraban correos electrónicos, detalles de proyectos, informes de accidentes y planos de construcción…

El grupo de investigación de Palo Alto “Unit 42” hace mención y alerta en sus informes sobre la importancia que tienen los ataques contra hospitales “interrumpen las operaciones diarias de los hospitales y potencialmente ponen en peligro la vida de los pacientes”, además de exponer información sensible como tratamientos de los pacientes, diagnósticos o incluso imágenes de estos.

A finales de 2023, el grupo irrumpió en los sistemas de la ONG “Save the Children” y robó presuntamente 6.8TB de información, incluyendo cerca de 1 TB de registros financieros de la organización. Este tipo de ataques son destacables ya que no son muchas las OCGs que se dedican a atacar a este tipo de organizaciones. Este suceso provocó una fuerte crítica por parte de la comunidad, a la que la plataforma de Threat Intelligence “Cyber Know” respondió anunciando que “se trata de una de las infracciones más inmorales jamás vistas en la historia”.