Cybersicherheitsexperten von Guidepoint Security und Arctic Wolf haben eine neuartige Social-Engineering-Kampagne aufgedeckt, bei der Cyberkriminelle physische Erpresserbriefe im Namen der bekannten Ransomware-Gruppe BianLian versenden. Diese ausgeklügelte Betrugsmasche zielt speziell auf Führungskräfte amerikanischer Unternehmen ab und markiert eine besorgniserregende Entwicklung in der Cyberkriminalität.
Sophisticated Social Engineering mit maßgeschneiderten Drohungen
Die Ende Februar 2024 versandten Briefe weisen einen hohen Grad an Professionalität auf. Die Betrüger verwenden einen Absender aus Boston und operieren unter dem Namen BIANLIAN Group, um ihrer Forderung Legitimität zu verleihen. Besonders bemerkenswert ist die detaillierte Anpassung der Drohungen an die jeweilige Zielorganisation, was auf eine gründliche Vorrecherche hindeutet.
Branchenspezifische Erpressungsstrategien
Die Cyberkriminellen demonstrieren fundierte Kenntnisse über ihre Zielunternehmen. Bei Gesundheitseinrichtungen drohen sie mit der Veröffentlichung sensibler Patientendaten, während bei Produktionsunternehmen Kundenaufträge und vertrauliche Geschäftsdokumente im Fokus stehen. Diese maßgeschneiderte Vorgehensweise erhöht die Glaubwürdigkeit der Drohungen.
Analyse der Erpressungsmethodik
Im Gegensatz zu authentischen BianLian-Angriffen setzen die Betrüger eine aggressive Zehn-Tage-Frist für die Lösegeldzahlung. Die geforderten Summen bewegen sich zwischen 250.000 und 500.000 US-Dollar in Bitcoin, wobei für medizinische Einrichtungen ein fixer Betrag von 350.000 Dollar angesetzt wird. Jedes Schreiben enthält eine individuelle Bitcoin-Adresse mit QR-Code.
Identifizierte Warnsignale
Die Cybersicherheitsexperten haben mehrere Indikatoren identifiziert, die auf einen Betrug hinweisen:
– Ungewöhnliche Kommunikation via Briefpost
– Fehlende Beweise für tatsächliche Systemkompromittierung
– Abweichung vom typischen BianLian-Modus Operandi
Die Täter versuchen ihre Glaubwürdigkeit durch Verweis auf echte BianLian-Onion-Seiten und teilweise durch Einbindung tatsächlich kompromittierter Passwörter zu steigern.
Organisationen wird dringend empfohlen, diese Erpressungsversuche umgehend den Strafverfolgungsbehörden zu melden und keinesfalls auf die Forderungen einzugehen. Die Verwendung traditioneller Postweg-Kommunikation ist für legitime Ransomware-Gruppen höchst untypisch, da diese üblicherweise digitale Kommunikationskanäle bevorzugen. Unternehmen sollten ihre Mitarbeiter für solche Social-Engineering-Taktiken sensibilisieren und ihre Incident-Response-Pläne entsprechend aktualisieren.
