BianLian fidye yazılımı grubu, odak noktasını kurbanlarının dosyalarını şifrelemekten yalnızca güvenliği ihlal edilmiş ağlarda bulunan verileri sızdırmaya ve bunları gasp için kullanmaya kaydırdı.
BianLian’daki bu operasyonel gelişme, tehdit grubunun gasp becerilerini geliştirmeye ve kurbanlar üzerindeki baskıyı artırmaya çalıştığına dair işaretler gören siber güvenlik şirketi Redacted tarafından bildirildi.
BianLian, ilk olarak Temmuz 2022’de ortaya çıkan ve çok sayıda yüksek profilli kuruluşu başarıyla ihlal eden bir fidye yazılımı operasyonudur.
Ocak 2023’te Avast, kurbanların fidye yazılımı tarafından şifrelenen dosyaları kurtarmasına yardımcı olmak için ücretsiz bir şifre çözücü yayınladı.
Son BianLian saldırıları
Düzenlenmiş raporlar, BianLian operatörlerinin ilk erişim ve yanal hareket tekniklerini aynı tuttuklarını ve biraz geliştirilmiş bir versiyonu olsa da, tehlikeye atılan cihaza uzaktan erişim sağlayan özel bir Go tabanlı arka kapı kullanmaya devam ettiklerini bildiriyor.
Tehdit aktörleri, ihlalden 48 saat sonra kurbanlarını maskeli bir şekilde şantaj sitelerine gönderiyor ve onlara fidyeyi ödemeleri için yaklaşık on gün veriyor.
13 Mart 2023 itibarıyla BianLian, haraç portalında toplam 118 mağdur kuruluş listeledi ve büyük çoğunluğu (%71) ABD merkezli şirketlerdi.
Son saldırılarda görülen temel fark, BianLian’ın kurbanın dosyalarını şifrelemeden ihlallerinden para kazanmaya çalışmasıdır. Bunun yerine, artık yalnızca çalınan verileri sızdırma tehdidine dayanıyor.
“Grup, ödeme yapıldıktan sonra çalınan verileri sızdırmayacaklarına veya mağdur örgütün bir ihlale uğradığı gerçeğini başka bir şekilde ifşa etmeyeceklerine söz veriyor. BianLian, “işlerinin” itibarlarına bağlı olduğu gerçeğine dayanarak bu güvenceleri sunuyor.” Raporda düzeltildi.
“Birkaç örnekte, BianLian, kuruluşun bir ihlale uğradığının kamuoyuna duyurulması durumunda bir kurbanın karşılaşacağı yasal ve düzenleyici sorunlara atıfta bulundu. Grup ayrıca, çeşitli yasa ve tüzüklerin alt bölümlerine özel atıflar içerecek kadar ileri gitti. .”
Redacted, birçok durumda, BianLian operatörleri tarafından yapılan yasa referanslarının kurbanın bölgesinde geçerli olduğunu tespit etti ve bu, tehdit aktörlerinin güçlü argümanlar formüle etmek için bir kurbanın yasal risklerini analiz ederek gasp becerilerini geliştirdiğini gösteriyor.
BianLian’ın şifreleme taktiğini Avast’ın şifreleyicisini bozduğu için mi yoksa bu olayın kurbanları zorla fidye ödemeye zorlamak için saldırı zincirinin o kısmına ihtiyaç duymadıklarını fark etmelerine yardımcı olduğu için mi terk ettiği bilinmiyor.
Avast ücretsiz şifre çözücüsünü piyasaya sürdüğünde, BianLian’ın bunun önemini küçümsediğini ve bunun yalnızca fidye yazılımının “2022 yazının ilk” sürümlerinde çalışacağını ve sonraki tüm derlemeler tarafından şifrelenen dosyaları bozacağını söylediği belirtilmelidir.
Şifrelemesiz gasp
Dosyaları şifrelemek, veri hırsızlığı yapmak ve çalıntı dosyaları sızdırmakla tehdit etmek, kurbanları üzerindeki baskıyı artırmak isteyen fidye yazılımı çeteleri için ek bir zorlama biçimi olarak hizmet eden “çifte gasp” taktiği olarak bilinir.
Ancak, tehdit aktörleri ve kurbanlar arasındaki doğal alışveriş sayesinde fidye yazılımı çeteleri, birçok durumda hassas veri sızıntısının kurbanlar için daha da güçlü bir ödeme teşviki olduğunu fark etti.
Bu, son dönem Babuk ve SnapMC gibi şifrelemesiz fidye yazılımı operasyonlarını ve RansomHouse, Donut ve Karakurt gibi kendilerinin (veya hiç) dosya şifrelemeye girmediğini iddia eden gasp operasyonlarını doğurdu.
Yine de çoğu fidye yazılımı grubu saldırılarında şifreleme yüklerini kullanmaya devam ediyor çünkü şifreleme cihazlarının neden olduğu iş kesintisi birçok kurban üzerinde daha da fazla baskı oluşturuyor.