Ransomware : BianLian apparaît moins recourir au chiffrement pour extorquer

Le groupe de rançonneurs BianLian semble avoir décidé de changer son fusil d’épaule. Selon Redacted, « plutôt que de suivre le modèle typique de double extorsion consistant à chiffrer les fichiers et à menacer de divulguer les données », le groupe apparaît désormais choisir, de plus en plus souvent, « de ne pas chiffrer les données des victimes et de se concentrer sur le fait de convaincre les victimes de payer, en utilisant uniquement une demande d’extorsion en échange du silence de BianLian ». Ainsi, « le groupe promet qu’après avoir été payé, il ne divulguera pas les données volées ni le fait que l’organisation victime a subi une violation ».

Cette réorientation semble avoir suivi la publication, par Avast, d’un outil de déchiffrement, pour une ancienne version de BianLian, en janvier. Mais ne pas chiffrer les données des victimes ne manque pas d’avantages pour les attaquants.

Tout d’abord, l’absence de logiciel malveillant susceptible de tomber entre les mains d’analystes, de chercheurs, voire de simples journalistes, permet aux cybercriminels d’augmenter la furtivité de leurs opérations et leurs chances de moisson de crypto-brouzoufs avec les entreprises. Des entreprises pour qui payer n’a pas tant pour objet de retrouver l’accès à ses données, ni d’en éviter la fuite, que d’empêcher l’ébruitement de l’incident. 

En l’absence de chiffrement, l’activité peut continuer comme si de rien n’était. Pas de pertes d’exploitation, et pas d’effet visible par les clients et partenaires. Les attaquants n’ont plus qu’à utiliser les leviers de l’image et du cadre réglementaire.

CrowdStrike estime d’ailleurs que la cyberextorsion sans ransomware a commencé à être de plus en plus fréquemment adoptée. Karakurt, un groupe identifié en juin 2021, ne pratique pas le chiffrement des données, mais se contente d’en voler chez sa victime et de menacer de les vendre ou les divulguer, si la rançon demandée n’est pas versée. Il a été associé à Conti.

À cela s’ajoute RansomHouse, qui affirme ne pas déployer de ransomware et se contenter de voler les données. Le groupe a notamment revendiqué un important vol de données à AMD fin juin 2022. Plus tard, dans le courant de l’été, MBDA était visé par une revendication comparable, cette fois-ci du groupe Arvin.

Selon Redacted, BianLian sait bien utiliser les leviers de pression alternatifs au chiffrement. Le groupe apparaît « prendre le temps de faire des recherches pour adapter la menace à ses victimes ». Et justement, « dans plusieurs cas, BianLian a fait référence aux problèmes juridiques et réglementaires auxquels une victime serait confrontée, s’il était rendu public que l’organisation avait subi une violation ».