Nonostante la disponibilità del tool che permette di decifrare i file, le attività del gruppo BianLian sono ancora in corso. Anzi, secondo gli esperti di Redacted, i cybercriminali hanno incrementato il numero di vittime, principalmente aziende statunitensi. È tuttavia cambiata la tattica usata per gli attacchi ransomware, dando maggiore importanza all’estorsione e meno alla crittografia.
Basta l’estorsione per aumentare i profitti
BianLian è un ransomware scritto in linguaggio Go che sfrutta la crittografia intermittente con algoritmo AES a 256 bit. Gli attacchi, iniziati a metà 2022, proseguono ancora oggi. L’accesso iniziale alle reti aziendali, così come i movimenti laterali, avvengono con le stesse tecniche, ma la backdoor è stata aggiornata. Il gruppo apre e chiude una media di 25 server C2 (command and control) al mese per evitare di essere rintracciati.
Avast ha rilasciato a metà gennaio il tool per decifrare i file senza pagare il riscatto. I cybercriminali hanno tuttavia sottolineato che il tool funziona solo con una vecchia versione del ransomware. Usando il tool su file cifrati con una build successiva renderà i file irrecuperabili.
Nonostante ciò, gli attacchi più recenti hanno abbandonato la tradizionale doppia estorsione. I file non vengono più cifrati, ma solo rubati. Successivamente viene chiesto il pagamento di una somma di denaro per evitare la pubblicazione online. In diversi casi, i cybercriminali hanno studiato le leggi in vigore nel paese della vittima e quindi le conseguenze derivanti dalla divulgazione dei dati (ad esempio, la violazione della privacy).
Il gruppo crede quindi che queste “minacce” siano più efficaci della crittografia (tra l’altro le aziende potrebbero recuperare i file da un backup). Le principali vittime operano nei settori IT, salute, ingegneria e istruzione. La maggioranza si trova negli Stati Uniti (71%).
Ti potrebbe interessare
17 mar 2023