تغییر رویه گروه بیان لیان از حملات باج‌افزاری به سمت اخاذی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این گروه به دلیل حملات خود به سازمان‌های خیریه مانند سیو د چیلدرن (Save The Children) و شرکت‌های حوزه بهداشت و درمان مانند پزشکان اطفال بوستون (Boston Children’s Health Physicians) تحت بررسی قرار گرفته است.

روز سه‌شنبه، این گروه مسئولیت حمله به تیم سلامت خانواده امهرستبرگ (Amherstburg Family Health Team)، یک شرکت کانادایی فعال در حوزه بهداشت که اعلام کرده است به دلیل مشکلات فنی در سیستم تلفنی خود با تأخیر مواجه است را پذیرفت.

اف‌بی‌آی و مرکز امنیت سایبری استرالیا روز چهارشنبه هشدار به‌روزشده‌ای درباره این گروه منتشر کردند و اعلام کردند که تاکتیک‌های این گروه تغییر کرده و اکنون به‌جای رمزگذاری کامل سیستم‌ها، شرکت‌ها را با داده‌های سرقت‌شده تهدید و از آنها اخاذی می‌کنند.

از ژانویه، تمرکز این گروه منحصراً بر اخاذی مبتنی بر سرقت داده بوده است.

این هشدار اشاره می‌کند که مانند بسیاری از گروه‌های باج‌افزاری، گروه بیان لیان (BianLian) که احتمالاً در روسیه مستقر است، به‌طور قطع برای پیچیده کردن فرآیند شناسایی، از نام خود برای انتساب اشتباه مکان و ملیت، با انتخاب نام‌هایی به زبان‌های خارجی استفاده کرده است.

این گروه اهداف خود را از طریق برنامه‌های عمومی ویندوز و زیرساخت‌های ESXi مورد حمله قرار داده و احتمالاً از آسیب‌پذیری‌های شناخته‌شده پاورشل (ProxyShell) شامل CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207  برای دسترسی اولیه استفاده کرده است.

همچنین این گروه از آسیب‌پذیری‌هایی مانند CVE-2022-37969 که بر ویندوز ۱۰ و ۱۱ تأثیر می‌گذارد، بهره‌برداری کرده است.

بیان لیان از مجموعه‌ای از ابزارها برای حرکت در سیستم‌هایی که به آنها حمله ‌شده، سرقت داده‌ها و ایجاد سردرگمی در میان تیم‌های واکنش به حوادث استفاده کرده است.

در یک مورد، این گروه حساب‌های مدیر (administrator) متعددی در سیستم قربانی ایجاد کرده تا بتواند به‌راحتی در شبکه جابه‌جا شده و دسترسی خود را حفظ کند.

پیش از سال ۲۰۲۴، این گروه معمولاً از یک ابزار رمزگذاری برای تغییر پسوند فایل‌های تحت تأثیر به .bianlian استفاده می‌کرد و همچنین یک یادداشت باج به‌جا می‌گذاشت.

اف‌بی‌آی گزارش داده که در یادداشت‌های باج‌گیری جدید، گروه بیان لیان اعلام کرده که داده‌ها را سرقت نموده و تهدید می‌کند که در صورت عدم پرداخت باج، این داده‌ها را منتشر خواهد کرد.

این یادداشت‌ها شناسه تاکس آی دی (Tox ID) ارائه می‌کنند که قربانی را به یک چت در پلتفرم تاکس هدایت کرده و شامل آدرس‌های ایمیل جایگزین مانند n0torious@onionmail[.]org و xwikipedia@onionmail[.]org است.

این گروه همچنین تلاش کرده فشار بیشتری بر قربانیان وارد کند؛ از جمله چاپ یادداشت‌های باج در پرینترهای شرکت‌ها و حتی تماس با کارکنان برای تهدید آن‌ها.

دو هفته پیش، شورای امنیت سازمان ملل جلسه‌ای درباره باج‌افزارها برگزار کرد که در آن رئیس سازمان بهداشت جهانی به‌طور مفصل درباره خطر جدی حملات باج‌افزاری بر امنیت بین‌المللی صحبت کرد.

وی تأکید کرد:

باج‌افزار و دیگر حملات سایبری به بیمارستان‌ها و مراکز بهداشتی نه تنها مسئله‌ای امنیتی و محرمانه هستند، بلکه می‌توانند مسئله مرگ و زندگی باشند.

آن نویبرگر، مقام رسمی کاخ سفید که نماینده ایالات متحده در این جلسه بود، اظهار کرد که تنها در سال ۲۰۲۳، حدود ۱.۳ میلیارد دلار باج در ایالات متحده پرداخت شده است.