Le groupe de rançongiciels BianLian a déplacé son objectif du cryptage des fichiers de ses victimes vers l’exfiltration des données trouvées sur les réseaux compromis et leur utilisation à des fins d’extorsion.

Ce développement opérationnel à BianLian a été signalé par la société de cybersécurité Redacted, qui a vu des signes que le groupe de menaces tentait de développer ses compétences d’extorsion et d’augmenter la pression sur les victimes.

BianLian est une opération de ransomware qui est apparue pour la première fois dans la nature en juillet 2022, réussissant à percer plusieurs organisations de premier plan.

En janvier 2023, Avast a publié un décrypteur gratuit pour aider les victimes à récupérer les fichiers cryptés par le ransomware.

Attaques BianLian récentes
Des rapports expurgés selon lesquels les opérateurs BianLian ont conservé leurs techniques d’accès initial et de mouvement latéral et continuent de déployer une porte dérobée personnalisée basée sur Go qui leur donne un accès à distance sur l’appareil compromis, bien qu’une version légèrement améliorée de celui-ci.

Les acteurs de la menace affichent leurs victimes sous forme masquée aussi rapidement que 48 heures après la violation sur leur site d’extorsion, leur donnant environ dix jours pour payer la rançon.

Au 13 mars 2023, BianLian avait répertorié un total de 118 organisations de victimes sur son portail d’extorsion, la grande majorité (71 %) étant des entreprises basées aux États-Unis.

Les victimes de BianLian depuis juillet 2022

La principale différence observée dans les attaques récentes est que BianLian tente de monétiser ses violations sans chiffrer les fichiers de la victime. Au lieu de cela, il repose désormais uniquement sur la menace de divulguer les données volées.

« Le groupe promet qu’après avoir été payé, il ne divulguera pas les données volées ni ne divulguera autrement le fait que l’organisation victime a subi une violation. BianLian offre ces assurances sur la base du fait que leur « activité » dépend de leur réputation », mentionne Caviardé dans le rapport.

« Dans plusieurs cas, BianLian a fait référence à des problèmes juridiques et réglementaires auxquels une victime serait confrontée s’il devenait public que l’organisation avait subi une violation. Le groupe est également allé jusqu’à inclure des références spécifiques aux paragraphes de plusieurs lois et statuts. . »

Redacted a constaté que dans de nombreux cas, les références légales faites par les opérateurs BianLian étaient applicables dans la région de la victime, indiquant que les acteurs de la menace perfectionnent leurs compétences en matière d’extorsion en analysant les risques juridiques d’une victime pour formuler des arguments solides.

On ne sait pas si BianLian a abandonné la tactique de cryptage parce qu’Avast a cassé son crypteur ou parce que cet événement les a aidés à réaliser qu’ils n’avaient pas besoin de cette partie de la chaîne d’attaque pour extorquer les victimes à payer des rançons.

Il convient de mentionner que lorsque Avast a publié son décrypteur gratuit, BianLian a minimisé son importance, affirmant qu’il ne fonctionnerait que sur les premières versions « été 2022 » du ransomware et corromprait les fichiers cryptés par toutes les versions ultérieures.

Extorsion sans cryptage
Le chiffrement de fichiers, le vol de données et la menace de divulguer des fichiers volés sont connus sous le nom de tactique de « double extorsion », qui sert de forme supplémentaire de coercition pour les gangs de rançongiciels qui cherchent à augmenter la pression sur leurs victimes.

Cependant, grâce à l’échange naturel entre les acteurs de la menace et les victimes, les gangs de ransomwares ont réalisé que, dans de nombreux cas, la fuite de données sensibles constituait une incitation à payer encore plus forte pour les victimes.

Cela a donné naissance à des opérations de ransomware sans cryptage telles que feu Babuk et SnapMC, et à des opérations d’extorsion qui prétendent ne pas s’engager elles-mêmes dans le cryptage de fichiers (ou pas du tout), comme RansomHouse, Donut et Karakurt.

Pourtant, la plupart des groupes de rançongiciels continuent d’utiliser des charges utiles de chiffrement dans leurs attaques, car les interruptions d’activité causées par les appareils de chiffrement exercent une pression encore plus grande sur de nombreuses victimes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *