Una nueva información compartida por el FBI y las fuerzas del orden australianas ha señalado que es muy probable que los actores del ransomware BianLian en realidad tengan su sede en Rusia.
El dato se habría dado mediante un aviso. En el mismo se recoge que la pandilla habría cambiado sus tácticas y ahora se estaría moviendo hacia la extorsión de empresas, haciéndose con datos robados en lugar de cifrar completamente los sistemas.
Este grupo de ciberdelincuentes ha atacado a organizaciones benéficas como Save the Children, así como a organizaciones de atención médica, según informa The Record Media.
Hace unos días se atribuyeron el mérito de un ataque contra Amherstburg Family Health Team, una compañía de atención médica canadiense que dijo que actualmente está experimentando retrasos debido a problemas técnicos con su sistema telefónico.
Las autoridades comentan que el grupo habría usado ese nombre para llevar a pensar que se trata de una banda de otra ubicación y nacionalidad, "eligiendo denominaciones extranjeras, casi con certeza para complicar los esfuerzos de atribución".
Sin parar de moverse
La banda usa una serie de herramientas para moverse a través de los sistemas violados, robar datos y causar confusión entre los respondedores de incidentes que intentan detenerlos.
En uno de los casos se comprobó cómo BianLian creó múltiples cuentas de administrador dentro del sistema de una víctima para moverse más fácilmente a través de una red y mantener el acceso.
Previamente a 2024 el grupo usaba un encriptador para cambiar todos los archivos afectados con el fin de que tuvieran la extensión .bianlian. Este también generó una nota de rescate.
Con el fin de presionar todavía más a las víctimas la banda vinculada con Rusia habría llegado a imprimir las notas de rescate en las impresoras de las propias empresas comprometidas o habría llamado a los empleados para amenazarlos.