O grupo de ransomware BianLian alterou significativamente seu modus operandi, distanciando-se do modelo de extorsão dupla que combinava a criptografia de dados com a ameaça de vazamento.
A partir de janeiro de 2024, o foco do grupo tem sido exclusivamente na exfiltração de dados, de acordo com um comunicado conjunto emitido pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), pelo FBI e pelo Centro de Segurança Cibernética da Austrália.
Esta mudança estratégica teve início em 2023, após a Avast lançar um descriptografador que comprometeu a eficácia das estratégias de criptografia adotadas pelo grupo.
Atualmente, o BianLian adota abordagens mais sofisticadas para acessar e explorar dados roubados, empregando credenciais de Protocolo de Área de Trabalho Remota (RDP) e ferramentas desenvolvidas em Go, além de técnicas para esconder suas atividades.
O grupo tenta ainda confundir os investigadores usando nomes falsos estrangeiros, embora autoridades afirmem que suas operações ainda são centralizadas na Rússia.
O alerta emitido pelas agências aponta para novas técnicas empregadas pelo BianLian, como a exploração de vulnerabilidades conhecidas (
CVE-2022-37969
e ProxyShell) para o acesso inicial e aumento de privilégios, assim como o uso de túneis SOCK5 modificados para ocultar o tráfego de dados.
O grupo também faz uso de scripts PowerShell para compactar os dados exfiltrados e tem a prática de imprimir mensagens de resgate em impressoras de rede, aumentando a pressão sobre as vítimas por meio de ligações diretas para funcionários das empresas alvejadas.
Desde 2022, a atuação do BianLian tem sido notável, com mais de 150 vítimas documentadas em seu site na dark web até 2024.
Apesar do grupo mirar principalmente em pequenas e médias empresas, houve ataques recentes a grandes organizações, incluindo a Air Canada, a Northern Minerals e a Boston Children’s Health Physicians.
O grupo também alega ter realizado ataques contra uma grande fabricante de artigos esportivos no Japão, uma clínica médica no Texas e um grupo de mineração internacional, ainda que algumas dessas afirmações aguardem confirmação.
Diante dessas ameaças, a CISA aconselha a adoção de medidas de proteção robustas, tais como limitar o uso do RDP, restringir a execução de scripts e comandos em sistemas Windows, e reduzir as permissões para o uso do PowerShell.
Com os ataques se tornando cada vez mais direcionados e avançados, as empresas devem intensificar suas estratégias de cibersegurança para mitigar riscos e proteger suas operações contra o BianLian e outras ameaças cibernéticas em emergência.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...