A gangue BianLian descarta a rota de criptografia de arquivos e exigência de resgate, optando pela chantagem.
Empresa de segurança cibernética da Avast liberar em janeiro de um descriptografador gratuito para as vítimas do BianLian aparentemente convenceu os bandidos de que não havia futuro para eles no lado do ransomware e que a chantagem pura era o caminho a percorrer.
“Em vez de seguir o típico modelo de resgate duplo de criptografar arquivos e ameaçar vazamentos de dados, observamos cada vez mais que BianLian optou por renunciar à criptografia de dados das vítimas e, em vez disso, se concentrar em atingir apenas as vítimas para obter uma demanda de chantagem paga em troca do silêncio de BianLian. . ‘, escreveram pesquisadores de ameaças da empresa de segurança cibernética Redigido em um relatórios.
Um número crescente de grupos de ransomware está mudança confiar mais na extorsão do que na criptografia de dados. No entanto, parece que o ímpeto para o movimento dessa gangue foi essa ferramenta Avast.
Quando a loja de segurança lançou o descriptografador, o grupo BianLian se gabou em uma mensagem em seu site de vazamento de que eles criaram chaves exclusivas para cada vítima, que a ferramenta de descriptografia do Avast foi baseada em uma compilação do malware no verão de 2022 e que isso afetaria permanentemente arquivos corrompidos criptografados por outras compilações.
A mensagem foi removida e BianLian mudou algumas de suas táticas. Isso inclui não apenas deixar de resgatar os dados, mas também como os invasores publicam os detalhes das vítimas mascaradas em seu site de vazamento para provar que têm os dados na esperança de segmentar ainda mais as vítimas para incentivar o pagamento.
Ocultação de dados da vítima
Essa tática estava em seu arsenal antes que a ferramenta de descriptografia estivesse disponível, mas “o uso da técnica pelo grupo explodiu após o lançamento da ferramenta”, escreveram os pesquisadores editados Lauren Fievisohn, Brad Pittack e Danny Quist, diretor de projetos especiais.
Entre julho de 2022 e meados de janeiro, BianLian fez detalhes mascarados que representaram 16% das postagens no site de vazamento do grupo. Nos dois meses desde que o descriptografador foi lançado, detalhes de vítimas mascaradas foram incluídos em 53% das postagens. Eles também levam os detalhes mascarados ao local do vazamento ainda mais rapidamente, às vezes até 48 horas após o comprometimento.
O grupo também está pesquisando e adaptando cada vez mais suas mensagens às vítimas para aumentar a pressão sobre as organizações. Algumas das mensagens estão relacionadas a questões legais e regulatórias que as organizações enfrentam quando uma violação de dados se torna conhecida, onde as leis mencionadas parecem corresponder à jurisdição onde a vítima está localizada.
“Com essa mudança de tática, um site de vazamento mais confiável e um aumento na taxa em que os dados das vítimas são revelados, os problemas subjacentes anteriores da incapacidade da BianLian de administrar o lado comercial de uma campanha de ransomware parecem ter sido resolvidos”, disseram eles. escreveram Pesquisadores. “Infelizmente, essas melhorias em sua perspicácia nos negócios são provavelmente o resultado de ganhar mais experiência por meio do comprometimento bem-sucedido das organizações de vítimas.”
Uma presença crescente
A gangue BianLian invadiu a cena em julho de 2022, estabelecendo-se como uma ameaça emergente, principalmente para setores como saúde (14%, o setor mais afetado pelo grupo), educação e engenharia (ambos 11%) e TI (9 por cento). De acordo com o Redacted, em 13 de março, os bandidos listaram 118 vítimas em seu site de vazamento.
Cerca de 71% dessas vítimas estão nos Estados Unidos.
O malware é escrito em Go, uma das linguagens mais recentes como Rust, que os cibercriminosos usam para evitar a detecção, evitar ferramentas de proteção de endpoint e executar vários cálculos simultaneamente.
Embora o BianLian mude algumas de suas táticas, ele permanece consistente quando se trata de acesso inicial e movimento lateral através da rede da vítima. Houve ajustes no backdoor personalizado baseado em Go, mas a funcionalidade principal é a mesma, segundo o relatório.
Redacted, que tem acompanhado o BianLian no ano passado, também vislumbra o estreito acoplamento entre a implantação de backdoor e o servidor de comando e controle (C2), indicando que “no momento em que um BianLian C2 foi descoberto, é provável que o grupo já estabeleceu uma base firme na rede de uma vítima”, escreveram os pesquisadores.
O grupo de ameaças coloca quase 30 novos servidores C2 online a cada mês, com cada C2 permanecendo online por cerca de duas semanas.
Quanto ao BianLian, os pesquisadores do Redacted escreveram que “têm uma teoria de trabalho baseada em alguns indicadores promissores”, mas não estavam dispostos a dizer com certeza. ®
