.
A empresa de segurança cibernética wired lançou um descriptografador gratuito para vítimas do BianLian – uma ameaça emergente de ransomware que chamou a atenção do público no ano passado.
As vítimas do BianLian são encontradas em setores como saúde, manufatura, energia e serviços financeiros. As partes afetadas podem baixar o descriptografador para recuperar seus dados criptografados – embora possa haver desafios, de acordo com os pesquisadores da wired.
Os operadores por trás do BianLian estão entre um número crescente de grupos de ransomware que usam linguagens de programação mais recentes – neste caso, Go, mas outros também estão voltando-se para Rust – para tornar o malware difícil de detectar, contorne as ferramentas de proteção de endpoint e use recursos de simultaneidade para permitir que vários cálculos sejam executados ao mesmo tempo.
O recurso de simultaneidade permite que BianLian criptografe os dados rapidamente, de acordo com um relatório da BlackBerry em outubro de 2022. Além disso, o ransomware se exclui após a conclusão da criptografia, escreveram os pesquisadores da wired em seu relatório. E aí está o problema.
“O descriptografador só pode restaurar arquivos criptografados por uma variante conhecida do ransomware BianLian”, escreveram eles. “Para novas vítimas, pode ser necessário encontrar o binário do ransomware no disco rígido; no entanto, como o ransomware se exclui após a criptografia, pode ser difícil fazê-lo”.
Eles também recomendaram procurar arquivos .EXE em pastas como %temp%, Documentos e Imagens que normalmente não contêm executáveis e verificar o cofre de vírus do software antivírus. O executável BianLian tem cerca de 2 MB de tamanho.
De acordo com a wired, assim que o ransomware é executado, ele pesquisa todas as unidades de disco e, em seguida, os arquivos dentro delas. Ele criptografa os arquivos com extensões que correspondem a uma das 1.013 extensões codificadas em seu binário e anexa .bianlian à extensão do arquivo. O malware criptografa apenas no meio do arquivo, não no começo ou no fim.
Em seguida, ele coloca a nota de resgate com o título “Veja esta instrução.txt” em todas as pastas do sistema da vítima.
A nota oferece às vítimas várias maneiras de entrar em contato com os operadores – incluindo o aplicativo de bate-papo criptografado Tox ou por e-mail direto. Também indica que eles não apenas criptografaram os dados, mas os baixaram, ameaçando tornar os arquivos públicos em dez dias. Isso é típico de um grupo de dupla extorsão.
Os criminosos por trás do BianLian são desconhecidos, embora, segundo relatos, eles pareçam ser habilidosos e novos no campo do ransomware – eles não parecem ser remanescentes de grupos extintos, como o Conti. BianLian não só tem ransomware em seu kit de ferramentas, mas também malware backdoor, também escrito em Go.
“O grupo BianLian parece representar uma nova entidade no ecossistema ransomware”, analistas da [redacted] escrevi em setembro de 2022. “Além disso, avaliamos que os atores BianLian representam um grupo de indivíduos que são muito qualificados na penetração de rede, mas são relativamente novos no negócio de extorsão/ransomware.”
O grupo pode comprometer uma rede, mas cometeu erros – incluindo enviar acidentalmente dados de uma vítima para outra, atrasar a comunicação com as vítimas e ter uma infraestrutura não confiável.
Dito isto, é um grupo agressivo. Em setembro, seu site de vazamento listou 23 vítimas, de acordo com Amora. Dragos, empresa de segurança cibernética ligado BianLian a três incidentes de ransomware no terceiro trimestre de 2022.
A maioria das vítimas parece vir dos EUA, Reino Unido e Austrália, de acordo com várias análises de segurança cibernética. Os pesquisadores do BlackBerry escreveram que o grupo tem como alvo os países de língua inglesa porque sua motivação é financeira, e não política ou geográfica.
Os usuários Go também podem reunir código para Windows, Linux e OS X, o que significa que os desenvolvedores de malware não estão limitados nos sistemas operacionais que visam.
O acesso inicial é obtido por meio da cadeia de vulnerabilidade ProxyShell e, em seguida, o grupo implanta um webshell ou uma ferramenta leve de acesso remoto, [redacted] escrevi. A BianLian também explorou os dispositivos SonicWall VPN.
A infraestrutura dos criminosos apareceu online pela primeira vez em dezembro de 2021 e eles vêm desenvolvendo o conjunto de ferramentas desde então, expandindo rapidamente sua infraestrutura de comando e controle (C2) em agosto de 2022 para até 30 IPs, sinalizando um aumento das atividades do grupo. .
O descriptografador mais recente da wired segue um liberado no início deste ano para o ransomware MegaCortex, que foi criado por meio de um esforço de grupo da Europol, do fornecedor de segurança cibernética Bitdefender, do Projeto NoMoreRansom, do Ministério Público de Zurique e da Polícia Cantonal de Zurique. ®
.
