В начале текущего года эксперты компании Avast выпустили бесплатный дешифровщик для файлов, пострадавших от атак вымогателя BianLian. После этого операторы вымогательского ПО сменили тактику и больше не шифруют данные своих жертв. Теперь они просто воруют информацию из скомпрометированных сетей и используют ее для вымогательства, вынуждая жертв платить за молчание.
Вымогатель BianLian был впервые замечен ИБ-экспертами еще в июле 2022 года, после того как он успешно взломал несколько известных организаций. В январе 2023 года компания Avast выпустила бесплатный дешифровщик, который помогает жертвам восстановить свои файлы, пострадавшие из-за атак малвари.
Как теперь сообщают исследователи Redacted, после появления дешифровщика операторы вредоноса были вынуждены изменить свой подход к атакам.
Специалисты пишут, что в целом BianLian использует те же методы для получения первоначального доступа и бокового перемещения в сетях жертв, а также продолжает развертывать в зараженных системах собственный бэкдор на основе Go, который предоставляет удаленный доступ к скомпрометированному устройству.
Через 48 часов после взлома хакеры уже размещают на своем сайте завуалированную информацию о пострадавших, давая им примерно 10 дней на выплату выкупа. По состоянию на 13 марта 2023 года, операторы BianLian перечислили на своем сайте 118 организаций, причем подавляющее большинство (71%) — это компании, находящиеся в США.
Основным отличием недавних атак группы стали попытки монетизировать взломы без шифрования файлов. Теперь хакеры полагаются исключительно на угрозы и обещают «слить» украденные данные, если им не заплатят.
«Группировка обещает, что после оплаты [выкупа] она не будет публиковать украденные данные или иным образом раскрывать тот факт, что организация-жертва пострадала от взлома. BianLian предлагает гарантии, основанные на том факте, что их “бизнес” зависит от их репутации», — пишут аналитики.
Также отмечается, что хакеры явно проводят собственные исследования и адаптируют сообщения под конкретных жертв, чтобы усилить давление на пострадавших. К примеру, в некоторых случаях злоумышленники угрожают жертвам правовыми и нормативными проблемами, с которыми они столкнутся, если их данные «утекут» в открытый доступ. При этом законы, на которые ссылаются хакеры, вполне соответствуют юрисдикции, в которой находится компания-жертва.
Неизвестно, послужил ли причиной для отказа от шифрования именно дешифровщик Avast, или его релиз лишь помог хакерам понять, что им не нужна эта часть атак, чтобы вымогать у жертв выкупы.
Нужно сказать, что BianLian не единственная группировка, которая занимается вымогательством без шифрования. Ранее этим путем уже шли ныне несуществующие Babuk и SnapMC, а также есть вымогатели, которые утверждают, что не участвуют непосредственно в шифровании файлов, включая RansomHouse, Donut и Karakurt.
Тем не менее, большинство хак-групп продолжает использовать шифрование в своих атаках, поскольку сбои в работе компаний, вызванные такой малварью, обычно оказывают на пострадавших огромное давление.