Birden fazla ABD kuruluşu, Bianlian Ransomware Group’tan olduğunu iddia eden şüpheli fiziksel mektuplar aldığını bildirdi.
Bu mektuplar, alıcının kurumsal BT ağının tehlikeye atıldığını ve hassas verilerin çalındığını yanlış iddia ederek yönetici ekip üyelerine normal posta yoluyla teslim edildi.
Bu alışılmadık kampanya, neredeyse sadece dijital iletişimlere dayanan tipik fidye yazılımı taktiklerinden önemli bir ayrılmayı temsil ediyor.
Hileli mektuplar, müşteri bilgileri, sosyal güvenlik numaralarına sahip çalışan kayıtları, finansal belgeler ve diğer hassas materyaller de dahil olmak üzere kurumsal verilerin birkaç hafta boyunca birleştirildiğini iddia ediyor.
Alıcılar, Bitcoin’de önemli bir fidye ödenmedikçe, bu verilerin mektubu aldıktan sonraki 10 gün içinde sızdırılacağı tehdidinde bulunur.
Harfler hem Bitcoin cüzdan adreslerini hem de ödemeyi kolaylaştırmak için karşılık gelen QR kodlarını içerir ve fidye talepleri 250.000 ila 350.000 USD arasında değişmektedir.
Bu fiziksel harfler “Hemen Zamana Duyarlı Okuma” işaretli zarflarda verilir ve Massachusetts, Boston’daki “Bianlian Grubu” ndan olduğunu iddia eden bir iade adresi taşır.
Harfler, güvenilirlik oluşturmanın bir aracı olarak gerçek Bianlian veri sızıntı sitelerine bağlı bağlantıları içerir, ancak güvenlik araştırmacıları bu adreslerin kamuya açık olduğunu ve fidye yazılımı grubuna gerçek bir bağlantıyı göstermediğini belirtmektedir.
GuidePoint’teki güvenlik analistleri, bu gasp taleplerinin gayri meşru olduğuna ve gerçek Bianlian fidye yazılımı grubundan gelmediğine dair yüksek güvenle belirlenmiştir.
En söyleyerek, bu mektupları alan hiçbir kuruluş, tipik fidye yazılımı işlemlerine karşılık gelecek gerçek ağ müdahaleleri veya veri hırsızlığı kanıtı göstermemiştir.
Hileli iletişim ve yanıt önerilerinin belirlenmesi
Birkaç temel gösterge, bu fidye taleplerinin gayri meşru doğasına ihanet ediyor.
Fidye iletişimi için fiziksel posta kullanımı, dijital uzlaşma kanıtının standart olduğu meşru fidye yazılımı kampanyalarında gözlenmemiştir.
Bu harflerdeki yazı stili, neredeyse mükemmel İngilizce ve daha karmaşık cümle yapılarına sahip otantik Bianlian iletişiminden belirgin şekilde farklıdır.
Buna ek olarak, müzakere için bir iletişim kanalının olmaması – mektuplar açıkça “artık müzakere etmiyoruz” – standart fidye yazılımı protokollerinden ayrılırken, dolandırıcıların gerçek veri hırsızlığını gösterme ihtiyacını kolayca ortadan kaldırır.
Bu harflere dahil edilen Bitcoin cüzdan adresleri, bilinen fidye yazılımı işlemlerine hiçbir bağlantı olmadan taze olarak üretiliyor gibi görünüyor.
Ayrı cüzdan oluşturma, meşru fidye yazılımı grupları için standart bir uygulama olmakla birlikte, bu bağlamda dolandırıcıların kimliklerini gizlemeye hizmet eder.
Bu tür mektupları alan kuruluşların ilk olarak taleplere yanıt vermek yerine iç kontroller aracılığıyla ağ güvenlik duruşlarını doğrulamaları tavsiye edilir.
GuidePoint Security, hedeflenirse panik önlemek, çalışanların uygun raporlama prosedürlerini anlamalarını ve ağ savunmalarının güncel kaldığını onaylamasını sağlamak için yönetici ekip üyelerine bu tehdit kampanyası hakkında bilgi verilmesini önerir.
Alıcılar bu olayları yerel kolluk kuvvetlerine ve FBI’ın İnternet Suç Şikayet Merkezi’ne (IC3) bildirmelidir.
Bu mektuplar dolandırıcılık gibi görünse de, dağılımları potansiyel olarak tarihsel veri sızıntıları veya kuruluşların araştırması gereken uzlaşmaların bilgisini gösterebilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.