Biztosan nem az első false flag kibercsalás ez az online térben, de a módszer mindenesetre újszerű. Akár van valós incidens, amit egy tényleges ransomware csoport követett el, akár nincs, a kérdés: lehet-e ebből valamiféle trükkös csalással hasznot húznia egy harmadik félnek?
Fogd meg a söröm, vagy valami hasonlót mondhattak egymásnak azok a bűnözők, akik más tollával ékeskedve igyekeztek pénzhez jutni. Kicsit az albán vírus stílusához is hasonlít, de mindenesetre az offline térbe mélyen visszanyúlva retróznak az új szereplők az akciójukkal.
Az elkövetők ezúttal a BianLian zsarolóvírus-csoport nevében küldenek hamis váltságdíj-követeléseket hagyományos postai úton különböző amerikai cégek vezetőinek. Jól lejáratva ezzel az eredeti bűnözőket, foltot ejtve a becsületükön ;-)
A cikkben példaként említett esetekben a postai levelek a "BIANLIAN Group" feladóval érkeznek, és egy sürgős, azonnal elolvasandó bélyegző is szerepel a borítékon. A címzettek általában a cégek vezérigazgatói vagy más vezető beosztású tisztségviselői.
A levelet magát is testre szabják a bűnözők, például ha egészségügyi intézményt próbálnak zsarolni, akkor a szövegben bizalmas betegadatok és alkalmazotti információk kiszivárogtatásával fenyegetőznek, ha valamilyen gyártással kapcsolatos vállalat a címzett, ott vevői adatbázis, a rendelési információk, alkalmazotti béradatok, és az érzékeny technológiai dokumentációk nyilvánosságra hozatalát, ezek alvilági piactereken való értékesítését említik.
A Bleeping Computer beszámolója szerint az eddig megismert levelekben változó, 250 és 500 ezer dollár közötti összegű váltságdíjat követeltek Bitcoin formájában, amit állításuk szerint 10 napon belül kellene kifizetnie az áldozatoknak, ha el akarják kerülni az ellopott adatok állítólagos nyilvánosságra hozatalát.
A zsarolást azzal igyekeznek hihetőbbé tenni, hogy azt állítják a BianLian már nem tárgyal közvetlenül az áldozatokkal, és mellékelik a ransomware csoport darknetes Tor kiszivárogtató oldalának linkjét is. Arra is felhívják a figyelmet, hogy az áldozatok ne forduljanak a hatóságokhoz, mert ők érdemi segítség helyett úgyis csak lebeszélnék őket a fizetésről.
A szakértők véleménye szerint ezek a hamis követelések csak a megfélemlítésre és a haszonszerzésre szolgálnak, amihez a csalók mellékelnek egy saját frissen generált Bitcoin címet és egy egyedi QR-kódot is a fizetéshez. Az eddig megkörnyékezett cégeknél nem volt jele tényleges adatlopásnak vagy rendszerfeltörésnek.
A csalási módszer annyiban tekinthető újszerűnek, hogy a korábbi ransomware incidenseknél előforduló e-mailes vagy telefonos nyomásgyakorlás helyett ezúttal papír alapú postai úton fenyegetnek, és itt nem valódi elkövetők, hanem csak ismeretlen csalók próbálkoznak a zavarosban halászni.
Emlékezetes lehet, hogy korábban valódi ransomware bűnözők is próbálkoztak már a cégek vezetőit közvetlenül telefonos fenyegetésekkel váltságdíj fizetésre bírni. Azokban az esetekben a Cl0p banda próbált sokszor blöffölni, ahol a fájlok klasszikus letitkosítása mellett valójában időnként nem is történt adatlopás, de arra számítottak, hogy a megijedt ügyfél emiatt végül mégis a fizetés mellett dönt majd.
Legyünk tehát éberek, ne dőljünk be ezeknek a fenyegetéseknek, és képezzük folyamatosan a munkatársainkat, hogy megismerjék az egyre újabb trükköket.
