W ostatnim czasie amerykańskie firmy znalazły się w centrum nietypowej kampanii oszustw, która zamiast cyfrowych ataków wykorzystuje tradycyjną pocztę. Przestępcy, podszywając się pod znaną grupę ransomware BianLian, rozsyłają do dyrektorów generalnych i członków zarządów listy, które mają ich przekonać, że dane ich przedsiębiorstw zostały skradzione. W kopertach oznaczonych jako pilne, z adnotacją "Time Sensitive Read Immediately", znajdują się szczegółowo przygotowane notatki, które na pierwszy rzut oka mogą wydawać się autentyczne. Jednak specjaliści od cyberbezpieczeństwa rozwiewają wątpliwości, że to jedynie sprytnie skonstruowane oszustwo, które nie ma nic wspólnego z rzeczywistymi naruszeniami danych. O sprawie jako pierwsi poinformowali eksperci z Guidepoint Security, którzy przeanalizowali te podejrzane przesyłki. Koperty, nadane za pośrednictwem United States Postal Service, wskazują fikcyjny adres zwrotny w Bostonie: budynek biurowy przy 24 Federal Street. Na kopercie widnieje nazwa "BianLian Group", a data stempla pocztowego – 25 lutego 2025 roku – pokrywa się z obserwacjami innej firmy badawczej, Arctic Wolf, która również zajęła się tym problemem.
Taktyka oszustów
Treść notatek została zaprojektowana tak, aby wzbudzić strach i zmusić odbiorców do szybkiej reakcji. Listy są personalizowane – oszuści zdają się wiedzieć, w jakiej branży działa dana firma, i dostosowują swoje groźby do jej specyfiki. Na przykład przedsiębiorstwa z sektora medycznego dowiadują się, że rzekomo skradziono dane pacjentów i personelu, natomiast firmy produkcyjne słyszą o wycieku informacji o zamówieniach klientów czy szczegółach zatrudnienia. W jednym z ujawnionych listów oszuści przekonują, że przez kilka tygodni mieli dostęp do systemów firmy, pobierając tysiące plików – od danych finansowych, przez dokumenty prawne, po informacje o akcjonariuszach.
Każdy list zawiera konkretne żądanie: wpłata w Bitcoinach, której wysokość waha się od 250 000 do 500 000 dolarów, w zależności od odbiorcy. W przypadku organizacji medycznych kwota często ustalona jest na 350 000 dolarów. Do wiadomości dołączany jest unikalny adres kryptowalutowy oraz kod QR, który ma ułatwić szybkie przelanie pieniędzy. Co ciekawe, w niektórych przypadkach oszuści poszli o krok dalej, podając autentyczne, wcześniej skompromitowane hasła, by nadać swoim groźbom pozory wiarygodności. Jak zauważają badacze z Arctic Wolf, takie detale mają przekonać ofiary, że zagrożenie jest realne.
Jak się bronić?
Eksperci są zgodni, to oszustwo, a nie prawdziwy atak ransomware. Prawdziwa grupa BianLian działa zupełnie inaczej – kontaktuje się z ofiarami przez e-mail lub strony w ciemnej sieci, a negocjacje w sprawie okupu są jej standardową praktyką. Tymczasem autorzy tych listów stawiają sprawę jasno: żadnych rozmów, tylko 10 dni na zapłatę, w przeciwnym razie dane rzekomo trafią do sieci. To podejście odbiega od typowych schematów działania gangów ransomware i stanowi jeden z sygnałów, że mamy do czynienia z fałszywką. Nie ma żadnych dowodów na rzeczywiste włamania do systemów firm, które otrzymały te przesyłki. Zdaniem specjalistów, celem oszustów jest wyłącznie zastraszenie kadry kierowniczej i skłonienie jej do pochopnej wpłaty, zanim ktokolwiek zdąży zweryfikować prawdziwość zarzutów.
To nie oznacza, że listy można po prostu zignorować. Ich masowy charakter sprawia, że trafiają do wielu firm, a brak świadomości wśród zarządów może prowadzić do niepotrzebnego stresu czy angażowania zasobów w sprawdzanie nieistniejących zagrożeń. Dlatego specjaliści radzą, by działy IT i bezpieczeństwa w przedsiębiorstwach ostrzegły swoich przełożonych o tym zjawisku. Wiedza o oszustwie może zaoszczędzić czas i pieniądze, które w innym przypadku mogłyby zostać zmarnowane na reakcję na fikcyjne problemy.
Ta kampania przypomina wcześniejsze oszustwa wymuszające okup, które od 2018 roku pojawiały się w skrzynkach e-mailowych. Teraz jednak oszuści zmienili taktykę, celując w korporacyjnych liderów i wykorzystując tradycyjną pocztę, co nadaje ich działaniom nietypowy, niemal oldschoolowy charakter. Połączenie klasycznych listów z nowoczesnymi elementami, jak kody QR czy kryptowaluty, pokazuje, jak przestępcy adaptują się do zmieniających się czasów, próbując wykorzystać ludzkie emocje i presję czasu.
