Ransomware falso entregado por el servicio postal

BianLian es una banda de ransomware conectada con Rusia, bien conocida por el FBI y por profesionales de ciberseguridad y forenses. Son responsables de decenas de ataques costosos a objetivos de alto perfil. 

Normalmente utilizan credenciales de Remote Desktop Protocol (RDP) para acceder a los sistemas objetivo, donde establecen una puerta trasera segura y amplían el acceso con el tiempo, finalmente exfiltrando datos y anunciando su demanda de rescate.

¿Extorsión, a la antigua usanza?

Una cosa que los miembros de BianLian no hacen es emplear el Servicio Postal de los Estados Unidos para entregar sus demandas de extorsión. Y esa es solo una de varias razones por las que el FBI y otros están seguros de que una reciente ola de demandas de pago de "ransomware" enviadas por correo físico no está asociada con BianLian, a pesar de afirmar serlo.

Los destinatarios de estas demandas de pago por correo postal han sido ejecutivos de varias organizaciones estadounidenses, principalmente en el sector sanitario. Las demandas de ransomware oscilan entre $250,000 y $500,000, pagaderos en Bitcoin. Se incluye un código QR para depositar en una billetera de criptomonedas.

¿Por qué correo postal?

Las cartas físicas, a diferencia de los correos electrónicos maliciosos o sospechosos, tienen muchas más probabilidades de ser entregadas según lo previsto. Después de todo, "Ni la nieve ni la lluvia ni el calor ni la oscuridad de la noche detienen a estos mensajeros de la rápida realización de sus recorridos asignados."

Por otro lado, el uso de correo postal es una señal de que, de hecho, no han penetrado ni tomado el control de las redes de sus víctimas como afirman. Si lo hubieran hecho, ciertamente podrían captar la atención de los administradores fácilmente sin recurrir a comprar sellos.

Cómo funciona

Las cartas están algo personalizadas pero siguen un guion muy similar. Los sobres están sellados con "Lectura Inmediata Urgente". Crear un sentido de urgencia es un elemento básico en muchas estafas y fraudes.

Las cartas afirman que miles de archivos sensibles han sido robados y que serán publicados en el sitio de filtraciones de BianLian en la dark web a menos que se pague un rescate dentro de diez días.

Un código QR lleva a las víctimas a una billetera de criptomonedas donde pueden depositar el rescate.

La carta destaca que sus autores “no negociarán más con las víctimas”. Esto se toma como otra señal de que BianLian no está involucrado, ya que esa no es su política habitual.

Consejos para reducir el riesgo

Proteger a su organización contra el riesgo de este tipo de fraude es principalmente una cuestión de concienciación y educación.

El FBI recomienda que las personas tomen las siguientes precauciones:

• Notificar a los ejecutivos corporativos y a la organización sobre la estafa para concienciar.

• Asegúrese de que los empleados estén informados sobre qué hacer si reciben una amenaza de rescate.

• Si usted o su organización reciben una de estas cartas, asegúrese de que las defensas de su red estén actualizadas y que no haya alertas activas sobre actividades maliciosas.

• Si descubre que es víctima del ransomware BianLian, visite nuestro Boletín Conjunto de Concienciación sobre Ciberseguridad para conocer tácticas, técnicas y procedimientos recientes e indicadores de compromiso que ayuden a las organizaciones a protegerse contra el ransomware.

Un programa sólido de formación en concienciación sobre seguridad, como el que se incluye como parte de Barracuda Email Protection, es una buena manera de reducir el riesgo de su organización frente a estafas como esta.