Golpistas estão se passando pelo grupo de ransomware BianLian em falsas notas de resgate enviadas a empresas dos EUA por meio de correspondência convencional (snail mail) através do United States Postal Service.
Os envelopes dessas notas de resgate afirmam ser do "Grupo BIANLIAN" e têm um endereço de retorno localizado em um prédio comercial em Boston, Massachusets:
Na carta compartilhada com a imprensa, o envelope mostra que foi postado em 25 de fevereiro de 2025.
Esta data de postagem é a mesma vista pela Arctic Wolf, que também relatou o golpe hoje.
As cartas estão sendo enviadas ao CEO das empresas em seus endereços de correspondência corporativa e mostram que foram processadas através de uma instalação postal em Boston, com o envelope marcado como "Urgente, Leia Imediatamente."
Os envelopes contêm uma nota de resgate endereçada ao CEO da empresa ou outro executivo, alegando ser da operação de ransomware BianLian.
De acordo com notas revisadas, elas são personalizadas para a indústria da empresa, com diferentes tipos de dados supostamente roubados correspondendo às atividades da empresa.
Por exemplo, falsas notas de resgate do BianLian enviadas a empresas da área de saúde afirmam que informações de pacientes e funcionários foram roubadas, enquanto aquelas que visam negócios baseados em produtos alegam a exposição de pedidos de clientes e dados de funcionários.
"Lamento informar que ganhamos acesso aos sistemas [REDACTADO] e, nas últimas semanas, exportamos milhares de arquivos de dados, incluindo pedidos de clientes e informações de contato, informações de funcionários com IDs, SSNs, relatórios de pagamento e outros documentos sensíveis de RH, documentos financeiros da empresa, documentos legais, informações de investidores e acionistas, faturas e documentos fiscais," lê-se em uma falsa nota de resgate do BianLian.
As notas de resgate enviadas são muito diferentes das de BianLian, mas os golpistas tentam torná-las convincentes incluindo os reais sites de vazamento de dados Tor da operação de ransomware nas notas.
Contudo, ao contrário das típicas demandas de ransomware, essas notas falsas afirmam que o BianLian não está mais negociando com as vítimas.
Em vez disso, a vítima tem 10 dias para fazer um pagamento em Bitcoin para evitar que os dados sejam vazados.
Cada nota de resgate inclui uma demanda de resgate variando entre US$250.000 e US$500.000, um endereço Bitcoin gerado recentemente para o pagamento, e um código QR para o endereço Bitcoin.
A Arctic Wolf disse que todas as organizações de saúde tiveram sua demanda de resgate estabelecida em US$350.000, o que é o mesmo valor compartilhado por uma empresa de saúde, conforme mostrado abaixo.
Além disso, a Arctic Wolf afirma que duas notas de resgate que os pesquisadores viram incluíam senhas comprometidas legítimas para adicionar legitimidade à demanda.
"Em pelo menos duas cartas, o ator de ameaça incluiu uma senha comprometida na seção 'Como isso aconteceu?', quase certamente numa tentativa de adicionar legitimidade à sua reivindicação," explicou a Arctic Wolf.
O consenso nos relatos é que essas notas de resgate são falsas e projetadas apenas para assustar executivos a pagar um resgate, pois não há sinais de uma violação real.
"Embora a GRIT não possa confirmar a identidade dos autores da carta neste momento, avaliamos com um alto nível de confiança que as demandas de extorsão contidas são ilegítimas e não originam do grupo de ransomware BianLian," explica o pesquisador da GuidePoint Security, Grayson North.
No entanto, isso não significa que os e-mails devem ser ignorados.
Devido ao envio generalizado dessas notas, todos os administradores de TI e segurança devem notificar os executivos sobre o golpe para que estejam cientes e não gastem tempo e recursos preocupando-se com eles.
Essas falsas notas de resgate representam uma evolução dos golpes de extorsão por e-mail que se tornaram tão populares desde 2018.
No entanto, ao invés de visarem e-mails pessoais, agora estão mirando nos CEOs de corporações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...