Les escrocs se font passer pour le gang de ransomwares Bian Lian dans de fausses notes de rançon envoyées aux entreprises américaines par courrier postal via le Service postal des États-Unis.
Les fausses notes de rançon ont été signalées pour la première fois par Guidepoint Security aujourd’hui, Breachtrace ayant ensuite reçu une analyse de la note d’un PDG qui a reçu la même lettre.
Les enveloppes pour ces notes de rançon prétendent provenir du « Groupe BIAN LIAN » et avoir une adresse de retour située dans un immeuble de bureaux à Boston, Massachusetts:
LE GROUPE BIAN LIAN
24 RUE FEDERAL, BUREAU 100
BOSTON, MA 02110, États-Unis
Dans la lettre partagée avec Breachtrace, l’enveloppe montre qu’elle a été postée le 25 février 2025. Cette date d’envoi est la même que celle vue par Arctic Wolf, qui a également signalé l’arnaque aujourd’hui.
Les lettres sont envoyées par la poste au PDG des sociétés à leur adresse postale d’entreprise et montrent qu’elles ont été traitées par un établissement postal à Boston, avec l’enveloppe marquée », a lu immédiatement le facteur temps. »
Les enveloppes contiennent une demande de rançon adressée au PDG de l’entreprise ou à un autre dirigeant, prétendant provenir de l’opération de ransomware BianLian. Selon les notes examinées par Breachtrace, elles sont adaptées au secteur d’activité de l’entreprise, avec différents types de données prétendument volées correspondant aux activités de l’entreprise.
Par exemple, de fausses notes de rançon BianLian envoyées aux entreprises de soins de santé affirment que des informations sur les patients et les employés ont été volées, tandis que celles ciblant les entreprises axées sur les produits allèguent l’exposition des commandes des clients et des données des employés.
« J’ai le regret de vous informer que nous avons eu accès aux systèmes [EXPURGÉS] et qu’au cours des dernières semaines, nous avons exporté des milliers de fichiers de données, y compris des informations sur les commandes et les contacts des clients, des informations sur les employés avec des identifiants, des numéros de sécurité sociale, des rapports de paie et d’autres documents RH sensibles, documents financiers de l’entreprise, documents juridiques, informations sur les investisseurs et les actionnaires, factures et documents fiscaux », lit-on dans une fausse note de rançon BianLian.
Les notes de rançon envoyées par la poste sont très différentes de celles de BianLian, mais les escrocs tentent de les rendre convaincantes en incluant les vrais sites de fuite de données Tor pour l’opération de ransomware dans les notes.
Cependant, contrairement aux demandes typiques de ransomware, ces fausses notes indiquent que BianLian ne négocie plus avec les victimes. Au lieu de cela, la victime dispose de 10 jours pour effectuer un paiement en Bitcoins afin d’éviter la fuite de données.
Chaque demande de rançon comprend une demande de rançon comprise entre 250 000 $et 500 000$, une adresse Bitcoin fraîchement générée pour envoyer le paiement et un code QR pour l’adresse Bitcoin.
Arctic Wolf a déclaré que toutes les organisations de soins de santé avaient leur demande de rançon fixée à 350 000$, ce qui est le même que celui partagé par une entreprise de soins de santé avec Breachtrace, comme indiqué ci-dessous.
De plus, Arctic Wolf déclare que deux notes de rançon que les chercheurs ont vues comprenaient des mots de passe compromis légitimes pour ajouter de la légitimité à la demande.
« Dans au moins deux lettres, l’auteur de la menace a inclus un mot de passe compromis dans le Comment est-ce arrivé? section, presque certainement dans le but d’ajouter de la légitimité à leur revendication. »a expliqué Arctic Wolf.
Le consensus dans les rapports est que ces notes de rançon sont fausses et ne sont conçues que pour effrayer les dirigeants afin qu’ils paient une rançon, car il n’y a aucun signe de violation réelle.
« Bien que GRIT ne puisse pas confirmer l’identité des auteurs de la lettre pour le moment, nous estimons avec un haut niveau de confiance que les demandes d’extorsion contenues dans celle-ci sont illégitimes et ne proviennent pas du groupe BianLian ransomware », explique Grayson North, chercheur en sécurité chez GuidePoint.
Cependant, cela ne signifie pas que les courriels doivent être ignorés. En raison de l’envoi généralisé de ces notes, tous les administrateurs informatiques et de sécurité doivent informer les dirigeants de l’arnaque afin qu’ils soient au courant et ne perdent pas de temps et de ressources à s’inquiéter à leur sujet.
Ces fausses notes de rançon sont une évolution des escroqueries par extorsion par courrier électronique qui sont devenues si populaires depuis 2018. Cependant, au lieu de cibler les courriels personnels, ils ciblent maintenant les PDG des entreprises.
Breachtrace a contacté l’opération de ransomware BianLian pour voir si elle était impliquée dans ces envois, mais aucune réponse n’était immédiatement disponible.