De criminelen achter de BianLian-ransomware zijn volledig overgestapt op datadiefstal en houden zich niet meer bezig met het versleutelen van bestanden, aldus de FBI. Daarnaast printen de criminelen hun losgeldeis via printers van het gecompromitteerde netwerk, om zo de betreffende organisatie onder druk te zetten het losgeld te betalen. Tevens hebben medewerkers van aangevallen organisaties laten weten dat ze dreigende telefoontjes hebben ontvangen van personen die aan de groep gelieerd zouden zijn.

In eerste instantie hanteerde de groep een 'double-extortion model', waarbij bestanden werden gestolen en daarna op de systemen van de aangevallen organisatie werden versleuteld. Sinds begin dit jaar is de groep overgestapt op het alleen stelen van allerlei soorten data, zoals bedrijfsgegevens, persoonlijke informatie en klantgegevens. Als de aangevallen organisatie het gevraagde losgeld niet betaalt dreigt de groep de gestolen bestanden openbaar te maken. Voor het stelen van de data wordt gebruik gemaakt van FTP, bestandsopslagdienst MEGA en de Rclone-tool.

Om toegang tot de netwerken van slachtoffers te krijgen maakt de groep gebruik van gestolen RDP-inloggegevens. Die worden verkregen door middel van phishing en 'initial access brokers'. Dit zijn criminelen die zich bezighouden met het verkrijgen van toegang tot systemen en netwerken en die toegang vervolgens aan andere criminelen verkopen. Mogelijk zou de groep ook van de ProxyShell-kwetsbaarheden gebruikmaken.

De FBI kwam vorig jaar al met een waarschuwing voor de BianLian-ransomware, waarin het organisaties opriep het gebruik van RDP strikt te beperken. De waarschuwing is nu van een uitgebreide update voorzien met meer technische informatie over de werkwijze van de groep.