Der Sicherheitsanbieter Logpoint hat die aktuellen Aktivitäten der Ransomware-Gruppe BianLian analysiert. Die Cybererpresser haben sich demnach jüngst von ihrem Double-Extortion-Geschäftsmodell verabschiedet. Sie verzichten auf eine Verschlüsselung von Dateien und verlangen Lösegeld ausschließlich für gestohlene Kopien von Daten.
Die Ransomware BianLian wurde erstmals im Juni 2022 entdeckt. Ein Schwerpunkt der Cyberkriminellen sind kritische Infrastrukturen in den USA und Australien. Geschrieben wurde die Schadsoftware in der Programmiersprache Go und anschließend für 64-Bit-Windows-Systeme kompiliert.
Angriffe der Gruppe erfolgen mit gültigen Anmeldedaten für Microsofts Remote Desktop Protokoll oder über bekannte Sicherheitslücken wie ProxyShell. Per Open-Source-Tools und Befehlszeilenprogrammen suchen die Erpresser nach Anmeldedaten im Netzwerk und kopieren Daten per FTP, Rclone oder Mega.
Für die Verschlüsselung setzte die BianLian-Gruppe bisher auf AES-256 im CBC-Modus. Allerdings veröffentlichte Avast im Januar 2023 ein kostenlosen Entschlüsselungswerkzeug für die Ransomware BianLian. Danach gaben die Erpresser laut Logpoint schließlich die Verschlüsselung von Dateien auf.
„Die Cyberkriminellen, die hinter BianLian stehen, reagierten darauf, indem sie ihre Strategie anpassten und zu einer neuen Form der Erpressung übergingen, bei der die Systeme der Opfer nicht mehr verschlüsselt wurden. Stattdessen konzentrierten sie sich ausschließlich auf den Diebstahl sensibler Daten und nutzten diese als Druckmittel, um ihre Ziele zu erpressen. Das Federal Bureau of Investigation (FBI) und das Australian Cyber Security Centre (ACSC) bestätigen dies, da sie eine Verlagerung hin zu einer ausschließlich auf Exfiltration basierenden Erpressung mit intakten Systemen beobachtet haben“, heißt es im Logpoint-Blog.
Im ersten Quartal 2023 belegte BianLian zusammen mit Blackbasta, Clop und Royal Platz vier in der Rangliste der aktivsten Ransomware-Gruppen. „Marktführer“ war Lockbit mit einem Anteil von 38 Prozent, gefolgt von Hive (9 Prozent) und BlackCat (6 Prozent).
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…