BianLian çetesi, dosyaları şifreleme ve fidye talep etme yolunu terk ediyor ve bunun yerine tam anlamıyla haraç almaya gidiyor.
Siber güvenlik firması Avast’ın serbest bırakmak Ocak ayında BianLian kurbanları için ücretsiz bir şifre çözücünün yayınlanması, görünüşe göre kötü niyetli kişileri işlerin fidye yazılımı tarafında kendileri için bir gelecek olmadığına ve saf gaspın gidilecek yol olduğuna ikna etti.
“Dosyaları şifrelemek ve veri sızdırmakla tehdit etmek gibi tipik çifte gasp modelini takip etmek yerine, BianLian’ın kurbanların verilerini şifrelemekten vazgeçmeyi seçtiğini ve bunun yerine BianLian’ın sessizliği karşılığında kurbanları yalnızca bir gasp talebini kullanarak ödeme yapmaya ikna etmeye odaklandığını giderek daha fazla gözlemliyoruz. Siber güvenlik şirketi Redacted için tehdit araştırmacıları bir yazıda şöyle yazdı: rapor.
Giderek artan sayıda fidye yazılımı grubu, değişen veri şifrelemeden çok haraç almaya güvenmek. Ancak, görünüşe göre bu çetenin hamlesinin itici gücü Avast aracıydı.
Güvenlik mağazası şifre çözücüyü piyasaya sürdüğünde, BianLian grubu sızıntı sitesindeki bir mesajda her kurban için benzersiz anahtarlar yarattığını, Avast’ın şifre çözme aracının 2022 yazından kalma bir kötü amaçlı yazılım derlemesine dayandığını ve diğer yapılar tarafından şifrelenmiş dosyaları terminal olarak bozabilir.
Mesaj o zamandan beri kaldırıldı ve BianLian bazı taktiklerini değiştirdi. Bu, yalnızca verileri fidye etmekten uzaklaşmayı değil, aynı zamanda saldırganların, kurbanları ödemeye daha fazla teşvik etme umuduyla verilere sahip olduklarını kanıtlamak için kurbanların maskelenmiş ayrıntılarını sızıntı sitelerinde nasıl yayınladıklarını da içerir.
Kurban ayrıntılarını maskeleme
Bu taktik, şifre çözme aracı mevcut olmadan önce cephaneliklerindeydi, ancak “grubun tekniği kullanımı, aracın piyasaya sürülmesinden sonra patladı”, Redacted araştırmacıları Lauren Fievisohn, Brad Pittack ve özel projelerin yöneticisi Danny Quist, yazdı.
BianLian, Temmuz 2022 ile Ocak ortası arasında, grubun sızıntı sitesindeki gönderilerin yüzde 16’sını oluşturan gizli ayrıntılar yayınladı. Şifre çözücünün piyasaya sürülmesinden bu yana iki ay içinde, maskeli kurban detayları ilanların yüzde 53’ündeydi. Ayrıca, sızıntı alanındaki gizli ayrıntıları daha da hızlı, bazen uzlaşmadan sonraki 48 saat içinde alıyorlar.
Grup ayrıca araştırmalarını yapıyor ve örgütler üzerindeki baskıyı artırmak için mesajlarını kurbanlara giderek daha fazla uyarlıyor. Mesajlardan bazıları, bir veri ihlalinin kamuya açık hale gelmesi durumunda kuruluşların karşı karşıya kalacağı yasal ve düzenleyici sorunlara atıfta bulunur ve atıfta bulunulan yasalar mağdurun bulunduğu yargı alanına karşılık geliyor gibi görünür.
“Taktiklerdeki bu değişiklik, daha güvenilir bir sızıntı sitesi ve kurban verilerinin sızdırılma hızındaki artışla, BianLian’ın bir fidye yazılımı kampanyasının iş tarafını yürütememesinin altında yatan önceki sorunların ele alındığı görülüyor.” araştırmacılar yazdı. “Maalesef, iş zekalarındaki bu gelişmeler, muhtemelen kurban örgütlerle başarılı bir şekilde uzlaşmaları yoluyla daha fazla deneyim kazanmalarının sonucudur.”
Büyüyen bir varlık
BianLian çetesi, Temmuz 2022’de sahneye sızdı ve özellikle sağlık (yüzde 14, grubun en çok mağdur ettiği sektör), eğitim ve mühendislik (her ikisi de yüzde 11) gibi sektörler için hızla yükselen bir tehdit haline geldi. BT (yüzde 9). Redacted’e göre, 13 Mart itibariyle, kötü niyetli kişilerin sızıntı sitelerinde listelenmiş 118 kurbanı vardı.
Bu kurbanların yaklaşık yüzde 71’i ABD’de.
Kötü amaçlı yazılım, siber suçluların tespit edilmekten kaçınmak, uç nokta koruma araçlarından kaçınmak ve aynı anda birden fazla hesaplama yapmak için benimsediği Rust gibi daha yeni dillerden biri olan Go dilinde yazılmıştır.
BianLian, taktiklerinden bazılarını değiştirmesine rağmen, kurbanın ağı aracılığıyla ilk erişim ve yanal hareket konusunda tutarlı kalıyor. Rapora göre özel Go tabanlı arka kapıda ince ayarlar yapıldı, ancak temel işlevsellik aynı.
BianLian’ı geçen yıldan beri takip eden Redacted, aynı zamanda arka kapı konuşlandırması ile komuta ve kontrol (C2) sunucusu arasındaki sıkı bağlantının da bir görüntüsünü elde ediyor; bu, “bir BianLian C2 keşfedildiğinde, Araştırmacılar, muhtemelen grubun bir kurbanın ağında sağlam bir dayanak noktası oluşturmuş olması muhtemeldir” diye yazdı.
Tehdit grubu, her ay yaklaşık 30 yeni C2 sunucusunu çevrimiçi hale getiriyor ve her bir C2, yaklaşık iki hafta çevrimiçi kalıyor.
BianLian’ın kim olduğu konusunda, Redacted araştırmacıları “bazı umut verici göstergelere dayanan çalışan bir teoriye” sahip olduklarını ancak kesin olarak söylemeye hazır olmadıklarını yazdı. ®
Kaynak : https://go.theregister.com/feed/www.theregister.com/2023/03/19/bianlian_ransomware_extortion/