.
A gangue BianLian está abandonando a rota de criptografia de arquivos e exigência de resgate e, em vez disso, está indo para a extorsão total.
Empresa de cibersegurança Value Host’s liberar em janeiro de um descriptografador gratuito para vítimas de BianLian aparentemente convenceu os criminosos de que não havia futuro para eles no lado do ransomware e que a extorsão pura era o caminho a percorrer.
“Em vez de seguir o típico modelo de dupla extorsão de criptografar arquivos e ameaçar vazar dados, observamos cada vez mais a BianLian optando por renunciar à criptografia dos dados das vítimas e, em vez disso, se concentrar em convencer as vítimas a pagar apenas usando uma demanda de extorsão em troca do silêncio de BianLian, ” pesquisadores de ameaças da empresa de segurança cibernética Redacted escreveram em um relatório.
Um número crescente de grupos de ransomware está mudando a depender mais de extorsão do que de criptografia de dados. No entanto, parece que o ímpeto para o movimento dessa gangue foi a ferramenta Value Host.
Quando a loja de segurança lançou o descriptografador, o grupo BianLian em uma mensagem em seu site de vazamento se gabou de ter criado chaves exclusivas para cada vítima, que a ferramenta de descriptografia do Value Host era baseada em uma compilação do malware do verão de 2022 e que corromperia arquivos criptografados por outras compilações.
A mensagem foi retirada do ar e BianLian mudou algumas de suas táticas. Isso inclui não apenas deixar de resgatar os dados, mas também como os invasores publicam detalhes mascarados das vítimas em seu site de vazamento para provar que têm os dados em mãos na esperança de incentivar ainda mais as vítimas a pagar.
Mascarando detalhes da vítima
Essa tática estava em seu arsenal antes que a ferramenta de descriptografia estivesse disponível, mas “o uso da técnica pelo grupo explodiu após o lançamento da ferramenta”, escreveram os pesquisadores da Redacted Lauren Fievisohn, Brad Pittack e Danny Quist, diretor de projetos especiais.
Entre julho de 2022 e meados de janeiro, BianLian postou detalhes mascarados responsáveis por 16 por cento das postagens no site de vazamento do grupo. Nos dois meses desde que o descriptografador foi lançado, os detalhes das vítimas mascaradas estavam em 53% das postagens. Eles também estão obtendo os detalhes mascarados no site do vazamento ainda mais rápido, às vezes até 48 horas após o comprometimento.
O grupo também está fazendo suas pesquisas e adaptando cada vez mais suas mensagens às vítimas para aumentar a pressão sobre as organizações. Algumas das mensagens fazem referências a questões legais e regulatórias enfrentadas pelas organizações se uma violação de dados se tornar pública, com as leis referenciadas parecendo corresponder à jurisdição onde a vítima está localizada.
“Com essa mudança de tática, um site de vazamento mais confiável e um aumento na velocidade de vazamento de dados das vítimas, parece que os problemas subjacentes anteriores da incapacidade de BianLian de administrar o lado comercial de uma campanha de ransomware parecem ter sido resolvidos”, disse. os pesquisadores escreveram. “Infelizmente, essas melhorias em sua perspicácia nos negócios são provavelmente o resultado de ganhar mais experiência por meio do comprometimento bem-sucedido das organizações de vítimas.”
Uma presença crescente
A gangue BianLian invadiu o cenário em julho de 2022 e se estabeleceu como uma ameaça emergente rapidamente, principalmente para setores como saúde (14%, o setor mais vitimado pelo grupo), educação e engenharia (ambos 11%) e TI (9 por cento). De acordo com o Redacted, em 13 de março, os meliantes tinham 118 vítimas listadas em seu site de vazamento.
Cerca de 71% dessas vítimas estão nos EUA.
O malware é escrito em Go, uma das linguagens mais recentes, como Rust, que os cibercriminosos estão adotando para evitar a detecção, evitar ferramentas de proteção de endpoint e executar vários cálculos simultaneamente.
Apesar de mudar algumas de suas táticas, o BianLian permanece consistente quanto ao acesso inicial e movimento lateral através da rede da vítima. Houve ajustes no backdoor personalizado baseado em Go, mas a funcionalidade principal é a mesma, segundo o relatório.
A Redacted, que rastreou o BianLian desde o ano passado, também está obtendo uma visão do acoplamento estreito entre a implantação de backdoor e o servidor de comando e controle (C2), o que indica que “no momento em que um BianLian C2 é descoberto, é provavelmente o grupo já estabeleceu uma base sólida na rede da vítima”, escreveram os pesquisadores.
O grupo de ameaças coloca quase 30 novos servidores C2 online a cada mês, com cada C2 permanecendo online por cerca de duas semanas.
Quanto a quem está sendo BianLian, os pesquisadores Redacted escreveram que têm “uma teoria de trabalho baseada em alguns indicadores promissores”, mas que não estavam prontos para dizer com certeza. ®
.
