BianLian Fidye Yazılımı çetesi, Piramal Group olduğu iddia edilen siber saldırının sorumluluğunu üstlendi ve fidye yazılımı çetesinin sızıntı sitesinde Hintli iş holdingini kurban olarak listeledi.
ThreatMon Tehdit İstihbarat ekibi bildirildi 28 Haziran 2023’teki iddia edilen Piramal Group siber saldırı olayı. Tehdit istihbarat servisi Falcon Feeds, onaylanmış Piramal Grubu siber saldırısı.
İlaç, sağlık ve finansal hizmetler gibi sektörlerde faaliyet gösteren etkili bir kuruluş olan Piramal Group, küresel bir ayak izine sahiptir ve bu sektörlere yaptığı önemli katkılarla geniş çapta tanınmaktadır.
Piramal Group olayla ilgili henüz resmi bir açıklama yapmadı.
Cyber Express, BianLian fidye yazılımı çetesinin saldırısının resmi onayını almak için Kurumsal İletişim ve Yatırımcı İlişkileri ve Sürdürülebilirlik ekiplerine ulaştı. Henüz bir cevap alamadık.
BianLian fidye yazılımı çetesi ve Piramal Group siber saldırısı
Piramal Group, Hindistan merkezli ve küresel bir varlığa sahip çeşitlendirilmiş bir holdingtir. Çeşitli iş sektörlerinde yer almakta ve kendisini her bölümde önde gelen bir oyuncu olarak kabul ettirmiştir.
BianLian fidye yazılımı çetesi sızıntı sitesi gönderisi, Piramal Group siber saldırısında hedef aldığı herhangi bir iş bölümünden bahsetmiyor.
Ancak tehdit aktörü, finansal bilgiler, diğer şirketlerin muhasebe bilgileri, proje verileri, teknik ayrıntılar ve kişisel bilgiler dahil olmak üzere 870 GB veriye erişimi olduğunu iddia ediyor.
Piramal Group’un ana bölümleri şunlardır:
Farmasötikler: Piramal Group’un farmasötik bölümü, yenilikçi ilaçlar ve sağlık ürünleri geliştirmeye ve üretmeye odaklanmaktadır. Sözleşmeli geliştirme ve üretim, tezgah üstü (OTC) ürünler ve kritik bakım gibi alanlarda güçlü bir varlığa sahiptirler.
Finansal Hizmetler: Piramal Group’un finansal hizmetler bölümü, borç verme, yatırım bankacılığı, varlık yönetimi ve emlak finansmanı dahil olmak üzere çok çeşitli finansal çözümler sunmaktadır. Gayrimenkul, altyapı, yenilenebilir enerji ve konaklama gibi çeşitli sektörlere hitap etmektedirler.
Gayrimenkul: Grubun gayrimenkul bölümü, konut, ticari ve karma kullanımlı mülkler geliştirmeye odaklanmaktadır. Tasarım, inşaat, pazarlama ve satış dahil olmak üzere gayrimenkul geliştirmenin çeşitli yönlerinde yer alırlar.
Hayırseverlik: Piramal Vakfı, çeşitli iş alanlarına sahip bir Hint holdingi olan Piramal Group’un hayırsever koludur. Vakıf, toplum üzerinde olumlu ve sürdürülebilir bir etki yaratmak amacıyla 2006 yılında kurulmuştur. .
BianLian fidye yazılımı çetesi: Çalışma modu
BianLian fidye yazılımı çetesi, kurban sayısına göre en üretken fidye yazılımı grupları arasında yer alıyor.
Son hedefleri arasında Mitcon Danışmanlık, St. Rose Hastanesi ve Avustralya Emlak Grubu (AREG) bulunmaktadır.
Mayıs ayında Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Avustralya Siber Güvenlik Merkezi (ACSC), BianLian fidye yazılımı çetesinin faaliyetleri hakkında bir siber güvenlik danışmanlığı yayınladı.
BianLian çetesi en az 2019’dan beri aktif ve kurbanların ağlarına erişim elde etmek için kimlik avı e-postaları, istismar kitleri ve uzak masaüstü protokolü (RDP) kaba kuvvet saldırıları dahil olmak üzere birden fazla taktik kullandığı biliniyor.
Picus Security’nin bildirdiğine göre, BianLian grubunun dikkate değer özelliklerinden biri, sızmaya dayalı şantaj yaklaşımı.
Başlangıçta, hassas verileri çaldıktan sonra kurbanların sistemlerini şifreledikleri bir çifte gasp modeli kullandılar. Bununla birlikte, Ocak 2023 civarında, odak noktalarını öncelikle verileri sızdırmaya ve bir fidye ödenmediği takdirde onları serbest bırakmakla tehdit etmeye kaydırdılar.
“BianLian grubu, kurbanı fidyeyi ödemeye zorlamak için ek teknikler kullanıyor; örneğin, güvenliği ihlal edilmiş ağdaki yazıcılara fidye notunun yazdırılması,” dedi CISA danışma belgesi.
“Kurban şirketlerin çalışanları, BianLian grubuyla bağlantılı kişilerden tehdit telefonları aldıklarını da bildirdi.”
CISA danışma belgesine göre grup, saldırı yaşam döngüsü boyunca çeşitli teknikler kullanır.
Go’da yazılmış özel arka kapılar yerleştirirler, uzaktan yönetim ve erişim yazılımı kurarlar ve yerel yönetici hesapları oluşturur veya etkinleştirirler.
Tespitten kaçınmak için BianLian aktörleri, virüsten koruma araçlarını devre dışı bırakmak ve Windows Kayıt Defteri ayarlarını değiştirmek için PowerShell ve Windows Komut Kabuğu’nu kullanır. Ayrıca ağ ve Active Directory numaralandırma tekniklerini kullanırlar ve ağ içinde yatay olarak hareket etmek için kimlik bilgilerini toplarlar.
Grup, kurbanın ortamına girdikten sonra PowerShell betiklerini kullanarak hassas dosyaları arar ve bunları Dosya Aktarım Protokolü (FTP), Rclone veya Mega dosya paylaşım hizmetini kullanarak sızdırır.
Kurbanın dosyalarını ayrı bir .bianlian uzantısıyla şifrelerler ve etkilenen her dizinde bir fidye notu bırakırlar. Kurban fidyeyi ödemeyi reddederse, BianLian sızan verileri Tor ağında tutulan bir sızıntı sitesinde yayınlamakla tehdit eder.