O grupo de ransomware BianLian mudou seu foco de criptografar os arquivos de suas vítimas para apenas exfiltrar dados encontrados em redes comprometidas e usá-los para extorsão.
Esse desenvolvimento operacional no BianLian foi relatado pela empresa de cibersegurança Redacted, que viu sinais do grupo de ameaças tentando aprimorar suas habilidades de extorsão e aumentar a pressão sobre as vítimas.
BianLian é uma operação de ransomware que apareceu pela primeira vez em julho de 2022, invadindo com sucesso várias organizações de alto perfil.
Em janeiro de 2023, a Avast lançou um descriptografador gratuito para ajudar as vítimas a recuperar os arquivos criptografados pelo ransomware.
A Redacted relata que os operadores do BianLian mantiveram suas técnicas de acesso inicial e movimento lateral iguais e continuam a implantar um backdoor personalizado baseado em Go que lhes dá acesso remoto ao dispositivo comprometido, embora uma versão ligeiramente melhorada dele.
Os atores de ameaça postam suas vítimas de forma mascarada em até 48 horas após a violação em seu site de extorsão, dando-lhes cerca de dez dias para pagar o resgate.
Em 13 de março de 2023, o BianLian listou um total de 118 organizações vítimas em seu portal de extorsão, sendo a grande maioria (71%) empresas com sede nos Estados Unidos.
A principal diferença vista nos ataques recentes é que o BianLian tenta monetizar suas violações sem criptografar os arquivos da vítima.
Em vez disso, agora ele depende exclusivamente de ameaçar vazar os dados roubados.
"O grupo promete que, depois de receber o pagamento, não vazará os dados roubados ou divulgará o fato de que a organização da vítima sofreu uma violação.
O BianLian oferece essas garantias com base no fato de que seu 'negócio' depende de sua reputação", menciona a Redacted no relatório.
Em muitos casos, as referências legais feitas pelos operadores do BianLian eram aplicáveis na região da vítima, indicando que os atores de ameaça estão aprimorando suas habilidades de extorsão analisando os riscos legais da vítima para formular argumentos fortes.
Não se sabe se o BianLian abandonou a tática de criptografia porque a Avast quebrou seu criptografador ou porque esse evento os ajudou a perceber que não precisavam dessa parte da cadeia de ataque para extorquir as vítimas a pagar resgates.
Deve-se mencionar que, quando a Avast lançou seu descriptografador gratuito, o BianLian minimizou sua importância, dizendo que só funcionaria em versões antigas de verão de 2022 do ransomware e corromperia arquivos criptografados por todas as versões subsequentes.
Criptografar arquivos, roubo de dados e ameaçar vazar arquivos roubados é conhecido como tática de "dupla extorsão", que serve como uma forma adicional de coerção para grupos de ransomware que procuram aumentar a pressão sobre suas vítimas.
No entanto, por meio da troca natural entre atores de ameaças e vítimas, os grupos de ransomware perceberam que, em muitos casos, o vazamento de dados sensíveis era um incentivo de pagamento ainda mais forte para as vítimas.
Isso deu origem a operações de ransomware sem criptografia, como o Babuk e o SnapMC, e operações de extorsão que afirmam não se envolver em criptografia de arquivos, como o RansomHouse, o Donut e o Karakurt.
Ainda assim, a maioria dos grupos de ransomware continua usando payloads de criptográfia em seus ataques, já que a interrupção dos negócios causada pela criptografia de dispositivos coloca ainda mais pressão sobre muitas vítimas.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...