BianLin, il ritorno del collettivo cybercriminale via posta ordinaria

La nuova tattica di BianLin sfrutta la posta ordinaria, mettendo a rischio la sicurezza aziendale attraverso la psicologia.

Nel panorama attuale della cybersecurity, l’innovazione non è prerogativa esclusiva delle aziende che sviluppano soluzioni di sicurezza. Anche i gruppi cybercriminali dimostrano un’evoluzione costante, adattando le proprie tecniche per sfuggire alle difese tradizionali. Se fino a ieri il vettore d’attacco privilegiato era la posta elettronica, oggi assistiamo a un salto di qualità che mescola vecchie metodologie con nuove strategie, sempre più raffinate e imprevedibili.

Chi è BianLin?
Analisi dell’attacco psicologico
Come difendersi dalla tattica di BianLin?

bianlin-cybercriminale-posta-ordinaria-image

L’ultima dimostrazione arriva da BianLian, un collettivo ransomware noto per il suo approccio diretto e aggressivo. Questa volta, però, il gruppo ha sorpreso tutti con una mossa inaspettata: l’invio di missive minatorie cartacee. Un ritorno alla vecchia scuola, che dimostra come la sicurezza informatica non possa più limitarsi al perimetro digitale, ma debba tenere conto anche di minacce provenienti dal mondo reale.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento

Chi è BianLin?

Il nome BianLin risponde a un collettivo cybercriminale di origine russa, specializzato nello sviluppo e nella diffusione di ransomware. Emerso nel giugno 2022, il gruppo ha rapidamente guadagnato notorietà per aver preso di mira settori critici delle infrastrutture negli Stati Uniti, in Australia e nel Regno Unito. Inizialmente, BianLian adottava la classica strategia della doppia estorsione per mezzo del ransomware omonimo. Combinando la cifratura dei dati delle vittime con la minaccia di divulgarli pubblicamente, il collettivo finiva per esercitare ulteriore pressione al pagamento del riscatto.

Tuttavia, nel corso del 2023, BianLian ha modificato le proprie tattiche, concentrandosi maggiormente sull’estorsione basata sulla sottrazione dei dati sensibili. Tale cambiamento ha finito per rendere il collettivo uno dei principali attori nel panorama delle minacce ransomware. Infatti, essi sono annoverati come il terzo gruppo più attivo al mondo, dietro solo a LockBit3 e AlphV. Il modus operandi del gruppo prevede l’accesso alle reti delle vittime attraverso credenziali valide di Remote Desktop Protocol (RDP), l’utilizzo di strumenti open-source e script da riga di comando per la ricognizione e la raccolta di credenziali, e l’esfiltrazione dei dati tramite File Transfer Protocol (FTP).

Tra le principali vittime colpite da BianLin vi sono organizzazioni di diverse dimensioni e settori, con una predilezione per le industrie manifatturiere e sanitarie negli Stati Uniti. Il gruppo ha mostrato una notevole capacità di adattamento, evolvendo le proprie tecniche per eludere le misure di sicurezza e massimizzare l’efficacia delle proprie campagne di estorsione. Questa flessibilità operativa ha contribuito alla loro rapida ascesa nel panorama delle minacce informatiche globali.

Analisi dell’attacco psicologico

Nel 2025 il collettivo è tornato alla ribalta, grazie all’adozione di una strategia di attacco piuttosto innovativa. Questa sfrutta, infatti, la posta ordinaria per veicolare le proprie minacce. Tale tattica rappresenta una deviazione non indifferente dalle tradizionali modalità di attacco informatico, che finisce inesorabilmente per introdurre nuove sfide nel panorama della cybersecurity.

Vediamo nel dettaglio di cosa si tratta.

Dettagli dell’attacco

Il 25 febbraio 2025, diversi dirigenti aziendali statunitensi hanno ricevuto lettere fisiche contenenti richieste di riscatto. Queste missive, apparentemente provenienti dal gruppo BianLian, affermano che i sistemi informatici delle vittime sono stati compromessi e che i dati sensibili saranno divulgati pubblicamente se non verrà pagato un riscatto in Bitcoin.

Differentemente da altri attacchi, queste lettere affermano che non sarà concesso alcuno spazio per le trattative e che le vittime avranno 10 giorni di tempo per pagare il riscatto. In fondo alla lettera sono presenti un codice QR e l’indirizzo di un portafoglio Bitcoin. Stando alle testimonianze delle vittime vi sono due differenti importi:

Settore manifatturiero: da 250.000 a 500.000 dollari;
Organizzazioni sanitarie: 350.000 dollari;

Sebbene l’invio di lettere fisiche possa sembrare una tattica insolita, essa è in realtà un’estensione delle tradizionali tecniche di social engineering. L’obiettivo è quello di sfruttare la credibilità associata alla comunicazione cartacea per indurre le vittime a credere nella legittimità della minaccia. In alcuni casi, dopo la ricezione della lettera, le vittime hanno segnalato ulteriori comunicazioni giunte via e-mail, che finivano per intensificare le minacce.

Motivazioni dietro l’uso della posta ordinaria

La scelta di adottare la posta ordinaria come vettore d’attacco deriva da diversi fattori.

Evasione delle difese digitali. Le tradizionali misure di sicurezza informatica, come i filtri antispam e gli antivirus, non possono intercettare le comunicazioni fisiche, rendendo più difficile l’individuazione preventiva dell’attacco.
Aumento della credibilità. Una lettera fisica, indirizzata personalmente a un dirigente, può apparire più autentica e urgente rispetto a una semplice email, aumentando la probabilità che la vittima prenda sul serio la minaccia.
Diversificazione delle tattiche. L’utilizzo di metodi non convenzionali dimostra la capacità del gruppo di adattarsi e innovare, rendendo più complessa la predisposizione di contromisure efficaci da parte delle aziende.

L’evoluzione nelle tattiche di BianLian sottolinea la necessità per le organizzazioni di ampliare la loro prospettiva sulla sicurezza. Questo perché vanno presi in considerazione anche vettori di attacco meno tradizionali.

Come difendersi dalla nuova tattica di BianLin?

Sebbene l’FBI abbia chiarito che le lettere inviate a nome di BianLian siano tentativi di estorsione fraudolenti, questa vicenda impone la considerazione di minacce fisiche, unite a quelle digitali. Per cui, è necessario seguire alcune best practices per prevenire e mitigare il rischio di cadere vittima di questo nuovo stile di attacco.

Verificare l’autenticità della minaccia.
Prima di cedere al panico, è essenziale accertarsi che l’attacco sia reale, analizzando log di accesso, policy di sicurezza e coinvolgendo esperti del settore.
Non pagare il riscatto richiesto.
Soddisfare le richieste economiche degli attaccanti non garantisce la protezione dei dati e può incentivare ulteriori attacchi.
Formare il personale dirigienziale.
Poiché le lettere di BianLian sono indirizzate ai decisori aziendali, una formazione adeguata sulle tecniche di social engineering può prevenire reazioni impulsive.
Monitorare il dark web.
L’uso di strumenti di threat intelligence consente di verificare la presenza di dati aziendali compromessi, valutando l’effettivo livello di esposizione.

In conclusione

La nuova tattica del collettivo BianLin, combinante tecniche di estorsione basate sulla manipolazione psicologica, è un segnale inequivocabile di come il panorama delle minacce sia in continua trasformazione.

Ecco perché non basta più affidarsi esclusivamente a soluzioni tecnologiche. In questo caso, la consapevolezza e la formazione individuale in materia di sicurezza restano gli strumenti più efficaci per contrastare queste tattiche malevole. Ogni organizzazione deve rafforzare il proprio livello di sicurezza, investendo in formazione, threat intelligence e strategie di mitigazione avanzate.

Il mondo della cybersecurity è una battaglia senza tregua. Rimanere aggiornati sulle nuove tecniche di attacco e mantenere costantemente alta la guardia non è più un’opzione, ma una necessità per proteggere il proprio business e la propria reputazione.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.