Gefälschte Ransomware, die per Post zugestellt wird

BianLian ist eine mit Russland verbundene Ransomware-Bande, die dem FBI sowie Cybersecurity- und Forensik-Experten gut bekannt ist. Sie ist für zahlreiche kostspielige Angriffe auf hochkarätige Ziele verantwortlich. 

Sie verwendet typischerweise RDP-Zugangsdaten, um sich Zugang zu den Zielsystemen zu verschaffen, wo sie eine sichere Hintertür einrichtet und den Zugang im Laufe der Zeit erweitert, um schließlich Daten zu exfiltrieren und ihre Lösegeldforderung anzukündigen.

Erpressung auf die altmodische Weise?

Eine Sache, die BianLian-Mitglieder nicht tun, ist, die US-Post zu beauftragen, ihre Erpressungsforderungen zuzustellen. Und das ist nur einer von mehreren Gründen, warum das FBI und andere davon überzeugt sind, dass eine jüngste Welle von per Post verschickten Ransomware-Zahlungsforderungen nicht mit BianLian in Verbindung steht, obwohl dies behauptet wird.

Ziele für diese Zahlungsforderungen per Schneckenpost waren Führungskräfte verschiedener US-Unternehmen, vor allem im Gesundheitssektor. Ransomware-Forderungen liegen zwischen 250.000 $ und 500.000 $ und sind in Bitcoin zahlbar. Ein QR-Code zur Einzahlung auf eine Krypto-Wallet ist enthalten. 

Warum der Postversand?

Im Gegensatz zu bösartigen oder verdächtigen E-Mails ist die Wahrscheinlichkeit, dass physische Briefe wie beabsichtigt zugestellt werden, wesentlich höher. Schließlich „hält weder Schnee noch Regen noch Hitze noch Dunkelheit der Nacht die Zusteller davon ab, ihre zugewiesenen Runden zügig zu erledigen.“

Andererseits ist die Verwendung von Postversand ein Hinweis darauf, dass sie tatsächlich nicht in die Netzwerke ihrer Opfer eingedrungen sind oder die Kontrolle darüber übernommen haben, wie sie es behaupten. Hätten sie das getan, könnten sie die Aufmerksamkeit der Administratoren sicherlich leicht erregen, ohne auf den Kauf von Briefmarken zurückgreifen zu müssen.

SO FUNKTIONIERT ES

Die Briefe sind etwas personalisiert, folgen aber einem sehr ähnlichen Muster. Die Umschläge sind mit dem Stempel „Time Sensitive Read Immediately“ versehen. Das Erzeugen eines Gefühls der Dringlichkeit ist ein grundlegendes Element bei vielen Betrugsversuchen.

In den Briefen wird behauptet, dass Tausende vertraulicher Dateien gestohlen wurden und dass sie auf der Darknet-Leak-Site von BianLian veröffentlicht werden, wenn nicht innerhalb von zehn Tagen ein Lösegeld gezahlt wird.

Ein QR-Code führt die Opfer zu einer Krypto-Wallet, wo sie das Lösegeld einzahlen können.

In dem Brief wird ausdrücklich darauf hingewiesen, dass die Verfasser „nicht weiter mit den Opfern verhandeln werden“. Dies wird als ein weiteres Zeichen dafür gewertet, dass BianLian nicht involviert ist, da dies nicht ihrer üblichen Politik entspricht.

Tipps zur Risikominderung

Der Schutz Ihres Unternehmens vor dieser Art von Betrug ist vor allem eine Frage des Bewusstseins und der Aufklärung. 

Das FBI empfiehlt Einzelpersonen, die folgenden Vorsichtsmaßnahmen zu treffen:

• Informieren Sie die Führungskräfte des Unternehmens und die Organisation über den Betrug, um das Bewusstsein zu schärfen.

• Stellen Sie sicher, dass die Mitarbeiter darüber informiert sind, was zu tun ist, wenn sie eine Bedrohung erhalten.

• Wenn Sie oder Ihr Unternehmen einen dieser Briefe erhalten, stellen Sie sicher, dass Ihre Netzwerkschutzmaßnahmen auf dem neuesten Stand sind und dass keine aktiven Warnungen bezüglich bösartiger Aktivitäten vorliegen.

• Wenn Sie feststellen, dass Sie Opfer von BianLian Ransomware sind, besuchen Sie bitte unser Joint Cybersecurity Awareness Bulletin, um aktuelle Taktiken, Techniken und Verfahren sowie Indikatoren für Sicherheitslücken zu erfahren, die Unternehmen beim Schutz vor Ransomware unterstützen.

Ein starkes Programm zur Schulung des Sicherheitsbewusstseins, wie es in Barracuda Email Protection enthalten ist, ist eine gute Möglichkeit, das Risiko Ihres Unternehmens durch Betrügereien wie diese zu verringern.