这些信件模仿典型的赎金票据,并威胁如果不付款就会删除或泄露受损的数据,尽管收到它们的组织都没有活跃的勒索软件攻击。
有人自称代表 BianLian 勒索软件组织,向各个组织的高管发送蜗牛邮件勒索信,通知他们他们的 IT 网络已受到威胁,并威胁要删除或泄露敏感的公司数据。
对于网络犯罪集团来说,通过邮件系统发送实体信件是一个不寻常的举动,他们通常会在网络攻击后以数字形式发送赎金票据。Arctic Wolf 和 Guidepoint Security 的研究人员在单独的博客文章中透露,这些信件模仿了那些传统的赎金票据,要求在 10 天内付款,以换取不泄露数据。
然而,收到这些信件的组织似乎都不是真正的 BianLian 勒索软件攻击的受害者——一个总部位于俄罗斯的双重勒索勒索软件组织,自 2022 年以来一直活跃——或任何其他威胁组织。
这封信指示收件人向随附的比特币钱包支付赎金,“通过包含钱包地址的二维码,这变得更加容易,”Guidepoint 的高级威胁情报分析师 Grayson North 在该公司的帖子中写道。
Guidepoint 观察到的赎金要求在 250,000 美元到 350,000 美元之间,而 Arctic Wolf 看到的信件要求赎金在 150,000 美元到 500,000 美元之间。具体来说,根据 Arctic Wolf 的帖子,发送给医疗保健组织的信件都要求支付 350,000 美元的赎金。
这些信件包括以下地址的回信地址:BianLian Group, 24 Federal Street, Suite 100, Boston, MA 02110;根据谷歌地图的搜索,街道地址对于办公楼来说是合法的。它们装在一个标有“Time Sensitive Read Immediately”的信封中,警告收件人不要向警方或 FBI 寻求帮助,并声称攻击者不会与受害者谈判。
BianLian 勒索软件冒充者
据 Guidepoint 称,这些信件的作者“非常小心地将自己描述为 BianLian 勒索软件组织”,甚至提供了指向 BianLian 数据泄露网站的 Tor 链接。然而,Guidepoint 和 Arctic Wolf 的研究人员都对勒索软件组织没有发送这些信件有“高度信心”。
这是因为高管收到这些信件的公司没有受到勒索软件攻击的伤害。此外,Guidepoint 表示,这些信件——用近乎完美的英语写成,具有复杂的句子结构——也没有反映以前勒索软件攻击中使用的实际 BianLian 赎金票据的措辞或语气。
此外,Guidepoint 表示,信件中包含的比特币钱包地址是最近才生成的,与任何活跃的勒索软件组织都没有联系,因此该活动不太可能与实际的 BianLian 勒索软件团伙有关。
Guidepoint 和 Arctic Wolf 的研究人员都得出了相同的结论:这些信件是与 BianLian 无关的行为者企图欺骗的一部分,“旨在煽动恐惧并欺骗组织为从未发生的勒索软件入侵支付赎金,”Arctic Wolf 的高级威胁情报研究员 Steven Campbell 在该公司的帖子中写道。
不要上当受骗 Snail-mail“赎金”骗局
尽管这些信件似乎是虚假勒索活动的一部分,但研究人员仍然不知道谁是幕后黑手,因此可能会有更多。两家公司都建议立即向执法部门报告收到任何信件,包括当地的 FBI 办公室以及美国政府的互联网犯罪投诉中心 (IC3)。
如果公司高管收到一封信,研究人员建议他们将威胁通知高管团队成员和员工,以提高意识并确保快速识别和报告潜在事件。
组织还应总体上加强其报告机制和网络防御,并检查其 IT 环境中没有关于恶意活动的活动警报。
“虽然我们不评估这些信件是否与合法的恶意网络活动有关,但这些信件的识别和递送可能反映了历史上的泄密或泄露,”坎贝尔承认。
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件
信息来源:https://www.darkreading.com/threat-intelligence/bogus-bianlian-snail-mail-extortion-letters