20/03/23
Группа вымогателей BianLian переключила свое внимание с шифрования файлов только на эксфильтрацию данных и использование их для вымогательства жертв. Об этом сообщила ИБ-компания Redacted, которая увидела признаки того, что группировка пытается использовать свои навыки вымогательства и усилить давление на жертв
Операторы BianLian сохранили свои методы первоначального доступа и бокового перемещения (Lateral Movement), а также продолжают развертывать собственный бэкдор на основе Golang, который предоставляет им удаленный доступ к скомпрометированному устройству.
На своем сайте BianLian размещает своих жертв уже через 48 часов после компрометации и даёт компаниям примерно 10 дней на уплату выкупа. По состоянию на 13 марта 2023 года BianLian перечислил на своем сайте в общей сложности 118 организаций, причем подавляющее большинство (71%) — это компании, базирующиеся в США.
Основное отличие недавних атак заключается в том, что BianLian пытается монетизировать свои взломы без шифрования файлов жертвы. Вместо этого теперь группа полагается исключительно на угрозы утечки украденных данных.
Хакеры обещают, что после уплаты выкупа они не будут раскрывать украденные данные или иным образом раскрывать тот факт, что организация была взломана. BianLian предлагает эти гарантии, основываясь на том факте, что их «бизнес» зависит от их репутации.
Для большего влияния на жертву киберпреступники в некоторых случаях напоминали про возможные юридические проблемы, с которыми столкнется организация, если станет известно о взломе. Более того, в записке о требовании выкупа группа также оставила ссылки на конкретные разделы законов и уставов.
Эксперты Redacted обнаружили, что во многих случаях упомянутые законы применяются в регионе жертвы, что указывает на то, что хакеры оттачивают свои навыки вымогательства, анализируя юридические риски жертвы, чтобы сформулировать веские аргументы.
Неизвестно, связан ли отказ BianLian от шифрования с тем, что компания Avast выпустила бесплатный дешифратор для программы-вымогателя BianLian. Возможно, злоумышленники просто поняли, что им не нужна эта часть цепочки атаки, чтобы вымогать у жертв выкуп.
