O grupo de ransomware BianLian reformulou sua abordagem, abandonando o modelo tradicional de dupla extorsão que combinava criptografia de dados com ameaças de divulgação. Desde janeiro de 2024, o grupo se concentra exclusivamente na exfiltração de dados, segundo uma atualização conjunta divulgada pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), FBI e Centro de Segurança Cibernética da Austrália.
Leia também
Falta de energia poderá retardar avanço da I.A.
IA já é tão importante quanto a bomba atômica
Essa mudança gradual começou em 2023, após o lançamento de um descriptografador pela Avast, que prejudicou a eficácia das táticas de criptografia do grupo. Agora, o BianLian utiliza métodos sofisticados para obter e explorar dados roubados, como o uso de credenciais de Protocolo de Área de Trabalho Remota (RDP) e ferramentas personalizadas baseadas em Go, além de técnicas para mascarar suas atividades. O grupo também procura confundir investigadores ao adotar nomes estrangeiros, mas autoridades afirmam que a operação permanece centralizada na Rússia.
O alerta das agências destacou novas técnicas utilizadas pelo BianLian, como a exploração de vulnerabilidades conhecidas (CVE-2022-37969 e ProxyShell) para acesso inicial e aumento de privilégios, bem como o uso de túneis SOCK5 modificados para mascarar tráfego. O grupo também emprega scripts do PowerShell para compactar dados exfiltrados e imprime notas de resgate em impressoras conectadas, intensificando a pressão sobre as vítimas ao ligar diretamente para funcionários das empresas atacadas.
A atividade do BianLian desde 2022 tem sido expressiva, com mais de 150 vítimas listadas em seu portal na dark web até 2024. Embora o foco principal do grupo sejam pequenas e médias empresas, casos recentes envolveram alvos de grande porte, como a Air Canada, a Northern Minerals e a Boston Children’s Health Physicians. O grupo também reivindicou ataques contra uma fabricante global de artigos esportivos no Japão, uma clínica médica no Texas e um grupo internacional de mineração, mas algumas dessas violações ainda aguardam confirmação oficial.
Diante dessas ameaças, a CISA recomenda medidas rigorosas de proteção, como limitar o uso do RDP, restringir scripts e comandos em sistemas Windows, e reduzir permissões para o PowerShell. Com ataques cada vez mais direcionados e sofisticados, empresas precisam redobrar os esforços em cibersegurança para mitigar riscos e proteger suas operações contra o BianLian e outras ameaças emergentes.