Los estafadores usurpan la identidad de la pandilla bianlian de ransomware en notas de rescate falsas enviadas a empresas estadounidenses por correo a través del servicio postal en los Estados Unidos.
Las notas de rescate falsas fueron reportadas por primera vez por Seguridad de puntos de orientación Hoy, BleepingCompute luego envió un escaneo de la nota de un CEO que recibió la misma carta.
Los sobres de estas notas de rescate afirman que provienen del “Grupo Bianlian” y tienen una dirección de devolución ubicada en un edificio de oficinas en Boston, Massachusets:
BIANLIAN GROUP
24 FEDERAL ST, SUITE 100
BOSTON, MA 02110En la carta compartida con BleepingCompute, el sobre muestra que se envió el 25 de febrero de 2025. Esta fecha de despacho es la misma que la vista de Arctic Wolf, que también informado En la estafa hoy.
Las cartas se envían por correo al CEO de las empresas en su dirección postal corporativa y muestran que fueron procesadas a través de una instalación postal en Boston, con el sobre marcado “inmediatamente sensible al tiempo”.
Fuente: BleepingCompute
Los sobres contienen una nota de rescate dirigida al CEO de la compañía u otro gerente, lo que afirma que proviene de la operación de ransomware de Bianlian. Según las notas examinadas por BleepingCompute, están adaptadas a la industria de la empresa, con diferentes tipos de datos supuestamente robados correspondientes a las actividades de la empresa.
Por ejemplo, las falsas notas de rescate de Bianlian enviados a las compañías de atención médica dicen que la información sobre pacientes y empleados ha sido robada, mientras que aquellos que se dirigen a productos de la exposición de datos de productos, clientes y empleados.
“Lamento informarle que tuvimos acceso a [REDACTED] Los sistemas y en las últimas semanas han exportado miles de archivos de datos, incluidos el pedido del cliente y los datos de contacto, la información de los empleados con IDS, SSN, informes de nómina y otros documentos confidenciales de recursos humanos, documentos financieros de la compañía, documentos legales, inversores y accionistas.
Fuente: Seguridad de GuidePoint
Las notas de rescate por correo son muy diferentes de las de Bianlian, pero los delincuentes intentan hacerlas convincentes al incluir los sitios de fuga de datos reales para el funcionamiento del ransomware en las notas.
Sin embargo, a diferencia de los requisitos típicos de ransomware, estas notas falsas indican que Bianlian ya no negocia con las víctimas. En cambio, la víctima tiene 10 días para realizar un pago de bitcoin para evitar que los datos sean filtrados.
Cada nota de rescate incluye una solicitud de rescate que varía entre $ 250,000 y $ 500,000, una dirección de bitcoin recién generada para enviar el pago y un código QR para la dirección de Bitcoin.
Arctic Wolf dijo que todas las organizaciones de atención médica tenían su solicitud de rescate en $ 350,000, que es la misma que la que compartió una compañía de atención médica con BleepingComPter, como se indica a continuación.
Fuente: BleepingCompute
Además, el lobo ártico declara que dos notas de rescate que vieron los investigadores incluyeron contraseñas de compromiso legítimas para agregar legitimidad a la demanda.
“En al menos dos letras, el actor de amenaza incluyó una contraseña de compromiso en la sección ¿Cómo sucedió?”
El consenso en los informes es que estas notas de rescate son falsas y solo están diseñadas para asustar a los líderes a pagar un rescate, porque no hay señales de violación real.
“Aunque el grano no puede confirmar la identidad de los autores de la carta por el momento, evaluamos con un alto nivel de confianza de que la extorsión requerida es ilegítima y no proviene del grupo de ransomware Bianlian”, dijo el investigador de la seguridad de las pautas de Grayson North.
Sin embargo, esto no significa que los correos electrónicos deben ignorarse. Debido a la difusión generalizada de estas notas, todos los administradores de TI y seguridad deben informar a los líderes de la estafa para que sean conscientes y no pierdan el tiempo y los recursos al preocuparse por ellos.
Estas falsas notas de rescate son una evolución de las estafas de extorsión de correo electrónico que se han vuelto tan populares desde 2018. Sin embargo, en lugar de apuntar a correos electrónicos personales, ahora se dirigen a los CEO de las empresas.
BleepingCompute contactó a la operación de ransomware de Bianlian para ver si estaban involucrados en estos envíos, pero una respuesta no estuvo disponible de inmediato.