by Die BianLian-Bande verlässt die Route der Dateiverschlüsselung und der Lösegeldforderung und setzt stattdessen auf Erpressung.
Die Veröffentlichung eines kostenlosen Entschlüsselers für BianLian-Opfer durch das Cybersicherheitsunternehmen Avast im Januar hat Kriminelle offensichtlich davon überzeugt, dass es für sie auf der Ransomware-Seite keine Zukunft gibt und dass reine Erpressung der richtige Weg ist.
„Anstatt dem typischen doppelten Erpressungsmodell der Verschlüsselung von Dateien und der Drohung mit Datenlecks zu folgen, sehen wir zunehmend, dass BianLian sich dafür entscheidet, auf die Verschlüsselung der Daten der Opfer zu verzichten und sich stattdessen darauf zu konzentrieren, die Opfer nur mit einer Erpressungsforderung im Austausch für BianLians Schweigen zur Zahlung zu bewegen. “, schrieben Bedrohungsforscher der Cybersicherheitsfirma Redacted in einem Bericht.
Immer mehr Ransomware-Gruppen verlassen sich mehr auf Erpressung als auf Datenverschlüsselung. Es scheint jedoch, dass der Anstoß für die Bewegung dieser Bande das Avast-Tool war.
Als der Sicherheitsspeicher den Entschlüsseler veröffentlichte, rühmte sich die BianLian-Gruppe in einer Nachricht auf ihrer Leak-Site, dass sie für jedes Opfer eindeutige Schlüssel erstellt hätten, dass das Avast-Entschlüsselungstool auf einem Build der Sommer-2022-Malware basiere und dass verschlüsselte Dateien beschädigt würden durch andere Builds.
Die Nachricht wurde entfernt und BianLian änderte einige seiner Taktiken. Dazu gehört nicht nur, dass die Daten nicht gerettet werden, sondern auch, wie Angreifer maskierte Details von Opfern auf ihrer Leak-Site veröffentlichen, um zu beweisen, dass sie die Daten in der Hand haben, in der Hoffnung, die Opfer weiter zur Zahlung zu ermutigen.
Verschleierung von Opferdetails
Diese Taktik war in ihrem Arsenal, bevor das Entschlüsselungstool verfügbar war, aber „die Nutzung der Technik durch die Gruppe explodierte, nachdem das Tool veröffentlicht wurde“, schrieben die Redacted-Forscher Lauren Fievisohn, Brad Pittack und Danny Quist, Direktor für Spezialprojekte.
Zwischen Juli 2022 und Mitte Januar veröffentlichte BianLian maskierte Details, die 16 Prozent der Posts auf der Leak-Site der Gruppe ausmachten. In den zwei Monaten seit der Veröffentlichung des Decryptors waren Details zu maskierten Opfern in 53 % der Posts zu finden. Sie erhalten auch die maskierten Details auf der Leckstelle noch schneller, manchmal bis zu 48 Stunden nach der Kompromittierung.
Die Gruppe forscht auch und passt ihre Botschaften zunehmend an die Opfer an, um den Druck auf Organisationen zu erhöhen. Einige der Nachrichten beziehen sich auf rechtliche und regulatorische Probleme, mit denen Organisationen konfrontiert sind, wenn eine Datenschutzverletzung öffentlich wird, wobei die Gesetze, auf die verwiesen wird, mit der Gerichtsbarkeit übereinstimmen, in der sich das Opfer befindet.
„Mit dieser Änderung der Taktik, einer zuverlässigeren Leckstelle und einer Erhöhung der Geschwindigkeit, mit der die Daten der Opfer durchgesickert sind, scheinen die früheren zugrunde liegenden Probleme von BianLians Unfähigkeit, die geschäftliche Seite einer Ransomware-Kampagne zu verwalten, gelöst worden zu sein “, sagte er. schrieben die Forscher. “Leider sind diese Verbesserungen in ihrem Geschäftssinn wahrscheinlich das Ergebnis des Sammelns von mehr Erfahrung durch die erfolgreiche Einbindung von Opferorganisationen.”
eine wachsende Präsenz
Die BianLian-Bande drang im Juli 2022 in die Szene ein und etablierte sich als schnell aufkommende Bedrohung, insbesondere für Sektoren wie das Gesundheitswesen (14 %, der von der Gruppe am stärksten betroffene Sektor), Bildung und Technik (beide 11 %) und IT (9 %). ). Laut Redacted hatten die Schurken am 13. März 118 Opfer auf ihrer Leak-Site aufgelistet.
Etwa 71 % dieser Opfer befinden sich in den USA.
Die Malware ist in Go geschrieben, einer der neueren Sprachen wie Rust, die Cyberkriminelle verwenden, um der Erkennung zu entgehen, Endpunktschutztools zu umgehen und mehrere Berechnungen gleichzeitig auszuführen.
Obwohl BianLian einige seiner Taktiken geändert hat, bleibt es konsequent in Bezug auf den anfänglichen Zugriff und die seitliche Bewegung durch das Netzwerk des Opfers. Es gab Anpassungen an der benutzerdefinierten Go-basierten Hintertür, aber die Kernfunktionalität ist laut dem Bericht dieselbe.
Redacted, das BianLian seit letztem Jahr verfolgt, gewinnt auch Einblick in die enge Kopplung zwischen der Backdoor-Bereitstellung und dem Command-and-Control-Server (C2), was darauf hinweist, dass „bis zu dem Zeitpunkt, an dem ein BianLian C2 entdeckt wird, wahrscheinlich das Die Gruppe hat bereits eine solide Grundlage im Netzwerk des Opfers geschaffen”, schrieben die Forscher.
Die Bedrohungsgruppe bringt jeden Monat fast 30 neue C2-Server online, wobei jeder C2 etwa zwei Wochen lang online bleibt.
Was BianLian anbelangt, so schrieben Redacted-Forscher, dass sie „eine funktionierende Theorie haben, die auf einigen vielversprechenden Indikatoren basiert“, aber dass sie nicht bereit waren, es mit Sicherheit zu sagen. ®
