Falso ransomware consegnato dal servizio postale

BianLian è una banda di ransomware connessa alla Russia ben nota all'<a href="https://www.ic3.gov/PSA/2025/PSA250306-2" target="_blank">FBI</a> e ai professionisti della cybersicurezza e della medicina legale. Sono responsabili di numerosi attacchi costosi contro obiettivi di alto profilo.

Di solito utilizzano le credenziali del Remote Desktop Protocol (RDP) per ottenere l'accesso ai sistemi target, dove stabiliscono una backdoor sicura e ampliano l'accesso nel tempo, esfiltrando infine i dati e annunciando la loro richiesta di riscatto.

Estorsione, alla vecchia maniera?

Una cosa che i membri di BianLian non fanno è utilizzare il Servizio Postale degli Stati Uniti per consegnare le loro richieste di estorsione. E questo è solo uno dei tanti motivi per cui l'FBI e altri sono sicuri che una recente ondata di richieste di pagamento "ransomware" inviate tramite posta fisica non sia associata a BianLian, nonostante affermino di esserlo.

Gli obiettivi di queste richieste di pagamento per posta tradizionale sono stati dirigenti di varie organizzazioni statunitensi, principalmente nel settore sanitario. Le richieste di ransomware variano da $250.000 a $500.000, pagabili in Bitcoin. È incluso un codice QR per depositare su un portafoglio crypto.

Perché posta tradizionale?

Le lettere fisiche, a differenza delle email maligne o sospette, hanno molte più probabilità di essere consegnate come previsto. Dopo tutto, "Né neve né pioggia né calore né oscurità della notte fermano questi corrieri dal rapido completamento dei loro giri assegnati."

D'altra parte, l'uso della posta tradizionale è un'indicazione che non hanno, in realtà, penetrato o preso il controllo delle reti delle loro vittime come affermano. Se lo avessero fatto, potrebbero sicuramente attirare l'attenzione degli amministratori facilmente senza ricorrere all'acquisto di francobolli.

Come funziona

Le lettere sono in qualche modo personalizzate ma seguono uno script molto simile. Le buste sono timbrate "Tempo Sensibile Leggere Immediatamente". Creare un senso di urgenza è un elemento di base in molte truffe e frodi.

Le lettere affermano che migliaia di file sensibili sono stati rubati e che verranno pubblicati sul sito di leak nel dark web di BianLian, a meno che non venga pagato un riscatto entro dieci giorni.

Un codice QR porta le vittime a un portafoglio crypto dove possono depositare il riscatto.

La lettera sottolinea che i suoi autori "non negozieranno ulteriormente con le vittime". Questo è considerato un altro segno che BianLian non è coinvolto, poiché non è la loro politica abituale.

Suggerimenti per ridurre il rischio

Proteggere la tua organizzazione dal rischio di questo tipo di frode è principalmente una questione di consapevolezza e istruzione.

<a href="https://www.ic3.gov/PSA/2025/PSA250306-2">L'FBI raccomanda</a> che gli individui prendano le seguenti precauzioni:

• Notificare ai dirigenti aziendali e all'organizzazione la truffa per sensibilizzare.

• Assicurarsi che i dipendenti siano istruiti su cosa fare se ricevono una minaccia di riscatto.

• Se tu o la tua organizzazione ricevete una di queste lettere, assicuratevi che le difese della rete siano aggiornate e che non ci siano avvisi attivi riguardanti attività dannose.

• Se scopri di essere vittima del ransomware BianLian, ti preghiamo di visitare il nostro <a href="https://www.ic3.gov/CSA/2024/241120.pdf">Bollettino congiunto di sensibilizzazione sulla sicurezza informatica</a> per conoscere le tattiche, tecniche e procedure recenti e gli indicatori di compromissione per aiutare le organizzazioni a proteggersi dal ransomware.

Un solido programma di formazione sulla consapevolezza della sicurezza, come quello incluso nel <a href="https://www.barracuda.com/products/email-protection/security-awareness-training?utm_source=05272025&utm_medium=blog&utm_campaign=blog">Barracuda Email Protection</a>, è un buon modo per ridurre il rischio della tua organizzazione da truffe come questa.