Ransomware falso entregue pelo serviço postal
BianLian é um grupo de ransomware ligado à Rússia, bem conhecido pelo FBI e por profissionais de cibersegurança e forense. Eles são responsáveis por dezenas de ataques dispendiosos a alvos de alto perfil.
Normalmente, utilizam credenciais de Remote Desktop Protocol (RDP) para aceder a sistemas-alvo, onde estabelecem uma backdoor segura e expandem o acesso ao longo do tempo, acabando por exfiltrar dados e anunciar a sua exigência de resgate.
Extorsão, à moda antiga?
Uma coisa que os membros do BianLian não fazem é usar os Correios dos EUA para entregar as suas exigências de extorsão. E essa é apenas uma das várias razões pelas quais o FBI e outros estão confiantes de que uma recente onda de exigências de pagamento de "ransomware" enviada por correio físico não está associada ao BianLian, apesar de afirmar que sim.
Os alvos destas exigências de pagamento por correio tradicional têm sido executivos de várias organizações dos EUA, principalmente no setor da saúde. As exigências de ransomware variam de $250,000 a $500,000, pagáveis em Bitcoin. Um código QR para depósito numa carteira de criptomoeda está incluído.
Por que correio tradicional?
Cartas físicas, ao contrário de emails maliciosos ou suspeitos, têm muito mais probabilidade de serem entregues conforme o pretendido. Afinal, "nem a neve, nem a chuva, nem o calor, nem a escuridão da noite impedem estes mensageiros de completar rapidamente as suas voltas designadas."
Por outro lado, o uso de correio tradicional é uma revelação de que, na verdade, não penetraram ou tomaram controlo das redes das suas vítimas como afirmam. Se o tivessem feito, poderiam certamente chamar a atenção dos administradores facilmente sem recorrer a comprar selos.
Como funciona
As cartas são algo personalizadas, mas seguem um guião muito semelhante. Os envelopes estão carimbados com "Urgente Ler Imediatamente". Criar uma sensação de urgência é um elemento básico em muitos esquemas e fraudes.
As cartas afirmam que milhares de ficheiros sensíveis foram roubados e que serão divulgados no site de vazamento da dark web do BianLian, a menos que um resgate seja pago dentro de dez dias.
Um código QR leva as vítimas a uma carteira de criptomoedas onde podem depositar o resgate.
A carta faz questão de dizer que os seus autores “não negociarão mais com as vítimas.” Isto é visto como outro sinal de que a BianLian não está envolvida, uma vez que essa não é a sua política habitual.
Dicas para reduzir o risco
Proteger a sua organização contra o risco deste tipo de fraude é, principalmente, uma questão de consciência e educação.
O FBI recomenda indivíduos tomarem as seguintes precauções:
Notificar os executivos corporativos e a organização sobre a burla para sensibilização.
Garantir que os funcionários sejam informados sobre o que fazer se receberem uma ameaça de resgate.
Se você ou a sua organização receber uma dessas cartas, certifique-se de que as suas defesas de rede estão atualizadas e que não há alertas ativos relativamente a atividades maliciosas.
Se descobrir que é vítima de ransomware BianLian, visite o nosso Boletim Conjunto de Sensibilização para Cibersegurança para conhecer as tácticas, técnicas e procedimentos recentes e indicadores de compromisso que ajudam as organizações a proteger-se contra ransomware.
Um programa forte de formação em sensibilização para a segurança, como o que está incluído como parte de Barracuda Email Protection, é uma boa forma de reduzir o risco da sua organização contra fraudes como esta.
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.
