Geng Ransomware BianLian Beralih Taktik Ke Ekstraksi Data Korban

Cyberthreat.id – Perusahaan keamanan siber Redacted, mengungkapkan bahwa grup Ransomware BianLian telah mengalihkan fokusnya dari mengenkripsi file korbannya menjadi hanya mengekstraksi data yang ditemukan di jaringan yang disusupi dan menggunakannya untuk pemerasan.

BianLian adalah operasi ransomware yang pertama kali muncul di alam liar pada Juli 2022, berhasil menembus beberapa organisasi terkenal.

Dikutip dari Bleeping Computer, Redacted menemukan tanda-tanda dari kelompok ancaman yang mencoba menyusun keterampilan pemerasan mereka dan meningkatkan tekanan pada para korban.

Sebelumnya, pada Januari 2023, Avast merilis dekripsi gratis untuk membantu korban memulihkan file yang dienkripsi oleh ransomware. Pada awalnya, operator BianLian tetap mempertahankan akses awal dan teknik gerakan lateral yang sama dan terus menerapkan backdoor berbasis Go kustom yang memberi mereka akses jarak jauh pada perangkat yang disusupi, meskipun versinya sedikit lebih baik.

Pelaku ancaman memposting korban mereka dalam bentuk topeng secepat 48 jam setelah pelanggaran di situs pemerasan mereka, memberi mereka kira-kira sepuluh hari untuk membayar uang tebusan. Bahkan, pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Perbedaan utama yang terlihat dalam serangan baru-baru ini adalah bahwa BianLian berupaya memonetisasi pelanggarannya tanpa mengenkripsi file korban. Sebaliknya, sekarang hanya mengandalkan ancaman untuk membocorkan data yang dicuri.

“Grup berjanji bahwa setelah mereka dibayar, mereka tidak akan membocorkan data yang dicuri atau mengungkap fakta bahwa organisasi korban telah mengalami pelanggaran. BianLian menawarkan jaminan ini berdasarkan fakta bahwa "bisnis" mereka bergantung pada reputasi mereka,” kata Redacted dalam laporan mereka.

Dalam beberapa kasus, BianLian mengacu pada masalah hukum dan peraturan yang akan dihadapi korban jika terungkap bahwa organisasi tersebut telah mengalami pelanggaran. Kelompok tersebut juga telah melangkah lebih jauh dengan memasukkan referensi khusus ke subbagian dari beberapa undang-undang dan undang-undang.

Redacted menemukan bahwa dalam banyak kasus, referensi hukum yang dibuat oleh operator BianLian dapat diterapkan di wilayah korban, menunjukkan bahwa pelaku ancaman mengasah keterampilan pemerasan mereka dengan menganalisis risiko hukum korban untuk merumuskan argumen yang kuat. Tidak diketahui apakah BianLian mengabaikan taktik enkripsi karena Avast merusak enkripsi mereka atau karena peristiwa ini membantu mereka menyadari bahwa mereka tidak memerlukan bagian rantai serangan itu untuk memeras korban agar membayar uang tebusan.

Harus disebutkan bahwa ketika Avast merilis decryptor gratisnya, BianLian meremehkan pentingnya, mengatakan itu hanya akan bekerja pada ransomware versi awal "musim panas 2022" dan akan merusak file yang dienkripsi oleh semua build berikutnya. Mengenkripsi file, pencurian data, dan ancaman untuk membocorkan file yang dicuri dikenal sebagai taktik "pemerasan ganda", yang berfungsi sebagai bentuk paksaan tambahan untuk geng ransomware yang ingin meningkatkan tekanan pada korban mereka.

Namun, melalui pertukaran alami antara pelaku ancaman dan korban, geng ransomware menyadari bahwa, dalam banyak kasus, kebocoran data sensitif merupakan insentif pembayaran yang lebih kuat bagi para korban. Ini melahirkan operasi ransomware tanpa enkripsi seperti Babuk dan SnapMC yang terlambat, dan operasi pemerasan yang mengklaim tidak terlibat dalam enkripsi file itu sendiri seperti RansomHouse, Donut, dan Karakurt.