Pandilla de ransomware BianLian cambia el enfoque a la extorsión de datos pura

El grupo de ransomware BianLian ha cambiado su enfoque de cifrar los archivos de sus víctimas a solo exfiltrar datos encontrados en redes comprometidas y usarlos para extorsión.

Este desarrollo operativo en BianLian fue reportado por la compañía de ciberseguridad Redacted, que ha visto signos de que el grupo de amenazas intenta elaborar sus habilidades de extorsión y aumentar la presión sobre las víctimas.

BianLian es una operación de ransomware que apareció por primera vez en la naturaleza en julio de 2022, violando con éxito múltiples organizaciones de alto perfil.

En enero de 2023, Avast lanzó un descifrador gratuito para ayudar a las víctimas a recuperar archivos cifrados por el ransomware.

Ataques recientes de BianLian

Los operadores de BianLian han mantenido sus técnicas iniciales de acceso y movimiento lateral iguales y continúan implementando una puerta trasera personalizada basada en Go que les brinda acceso remoto en el dispositivo comprometido, aunque una versión ligeramente mejorada del mismo.

Los actores de amenazas publican a sus víctimas en forma enmascarada tan pronto como 48 horas después de la violación en su sitio de extorsión, dándoles aproximadamente diez días para pagar el rescate.

A partir del 13 de marzo de 2023, BianLian ha enumerado un total de 118 organizaciones de víctimas en su portal de extorsión, y la gran mayoría (71%) son empresas con sede en los Estados Unidos.


La principal diferencia observada en los ataques recientes es que BianLian intenta monetizar sus infracciones sin cifrar los archivos de la víctima. En cambio, ahora se basa únicamente en amenazar con filtrar los datos robados.

"El grupo promete que después de que se les pague, no filtrarán los datos robados ni revelarán el hecho de que la organización víctima ha sufrido una violación. BianLian ofrece estas garantías basadas en el hecho de que su "negocio" depende de su reputación", menciona Redacted en el informe.

"En varios casos, BianLian hizo referencia a los problemas legales y regulatorios que enfrentaría una víctima si se hiciera público que la organización había sufrido una violación. El grupo también ha ido tan lejos como para incluir referencias específicas a las subsecciones de varias leyes y estatutos.

Redacted ha encontrado que en muchos casos, las referencias legales hechas por los operadores de BianLian eran aplicables en la región de la víctima, lo que indica que los actores de amenazas están perfeccionando sus habilidades de extorsión al analizar los riesgos legales de una víctima para formular argumentos sólidos.

Se desconoce si BianLian abandonó la táctica de cifrado porque Avast rompió su cifrado o porque este evento les ayudó a darse cuenta de que no necesitaban esa parte de la cadena de ataque para extorsionar a las víctimas para que pagaran rescates.

Cabe mencionar que cuando Avast lanzó su descifrador gratuito, BianLian minimizó su importancia, diciendo que solo funcionaría en versiones tempranas del "verano de 2022" del ransomware y corrompería los archivos cifrados por todas las compilaciones posteriores.

Extorsión sin cifrado

El cifrado de archivos, el robo de datos y la amenaza de filtrar archivos robados se conoce como una táctica de "doble extorsión", que sirve como una forma adicional de coerción para las bandas de ransomware que buscan aumentar la presión sobre sus víctimas.

Sin embargo, a través del intercambio natural entre los actores de amenazas y las víctimas, las bandas de ransomware se dieron cuenta de que, en muchos casos, la fuga de datos confidenciales era un incentivo de pago aún más fuerte para las víctimas.

Esto dio lugar a operaciones de ransomware sin cifrado, como Babuk y SnapMC, y operaciones de extorsión que afirman no participar en el cifrado de archivos ellos mismos (o en absoluto), como RansomHouse, Donut y Karakurt.

Aún así, la mayoría de los grupos de ransomware continúan utilizando cargas útiles de cifrado en sus ataques, ya que la interrupción del negocio causada por el cifrado de dispositivos ejerce una presión aún mayor sobre muchas víctimas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta