Групата Silent Ransom таргетира адвокатски канцеларии со лажни повици од ИТ поддршка

Изнудувачката група Silent Ransom Group активно таргетира адвокатски канцеларии и организации што нудат професионални услуги во САД преку напади со социјален инженеринг, кои често доведуваат до кражба на податоци само неколку часа по првиот контакт, според нов извештај на компанијата за сајбер-безбедност Mandiant.

Извештајот следува по предупредувањето (FLASH advisory) објавено минатата недела од Федералното истражно биро на САД (FBI), во кое се наведува дека Silent Ransom Group ги таргетира американските адвокатски фирми преку социјален инженеринг, па дури и преку физички кражби на податоци. Mandiant сега обезбедува дополнителни технички детали за начинот на кој се изведуваат овие упади.

Според Mandiant, групата, која се следи под ознаките UNC3753, Luna Moth и Chatty Spider, нападнала десетици организации од правниот, финансискиот и професионалниот сектор помеѓу јануари и мај 2026 година. Истражувачите предупредуваат дека адвокатските фирми остануваат особено привлечни цели бидејќи чуваат големи количини на високо чувствителни информации за своите клиенти и може да бидат под притисок брзо да ги решат случаите на изнуда за да избегнат репутациска и регулаторна штета.

„Адвокатските фирми претставуваат цели со висока вредност за изнудувачките групи. Тие одржуваат концентрирани складишта на исклучително чувствителни документи за клиентски трансакции, планови за спојувања и преземања, деловни тајни на клиентите и корпоративни регулаторни извештаи“, објаснува Mandiant.

„Криминалните групи се свесни дека правните субјекти се изложени на значителен репутациски и регулаторен ризик и дека можат да бидат силно мотивирани тивко да ги решат ситуациите со изнуда за да го заштитат својот професионален углед.“

Истражувачите наведуваат дека нападите започнуваат со фишинг-пораки поврзани со фактури, испратени од обични приватни е-поштени сметки. Овие пораки не содржат злонамерни линкови или прилози, туку служат како подготовка за последователни телефонски повици од напаѓачи кои се претставуваат како корпоративен ИТ персонал.

Изведувањето напади преку телефонски разговори е тактика што овие напаѓачи ја користат со години. Претходно тие ја применуваа во BazarCall кампањите за социјален инженеринг, поврзани со нападите на ransomware групите Ryuk и Conti. Callback phishing напад претставува техника во која напаѓачите испраќаат навидум безопасни фишинг пораки со алармантни или ИТ-теми, кои го поттикнуваат примателот сам да се јави на телефонски број наведен во пораката.

Во тековната кампања, Silent Ransom Group се претставува како ИТ служба за поддршка и ги убедува вработените да се приклучат на сесии за далечинска техничка поддршка преку Microsoft Teams, Zoom, Quick Assist или Microsoft Terminal Services.

За време на овие сесии, напаѓачите ја манипулираат жртвата да инсталира алатки за далечинско следење и управување, како што се AnyDesk, Zoho Assist, Bomgar или SuperOps, со што им се овозможува почетен пристап до корпоративната мрежа.

<organization>-itdesk[.]com
<organization>-it[.]com
<organization>-helpdesk[.]com

Истражувачите наведуваат дека напаѓачите исто така го користат privnote[.]com, сервис за самоуништувачки пораки, за споделување линкови за инсталација и команди со жртвите за време на сесиите за далечинска поддршка. Според Mandiant, оваа тактика помага да се намалат форензичките траги што би останале во историјата на прелистувачите или во корпоративните разговори и логови.

Откако ќе добијат пристап до мрежата, групата пребарува по чувствителни правни и финансиски документи, вклучувајќи договори, даночни евиденции, броеви за социјално осигурување и документи поврзани со спојувања или преземања на компании.

Напаѓачите најчесто ги таргетираат платформите за управување со документи и складиштата за податоци во облак (cloud storage), по што ги извлекуваат (екфилтрираат) податоците користејќи алатки како WinSCP или Rclone.

Според Mandiant, оваа изнудувачка операција е исклучително агресивна, при што барањата за откуп често пристигнуваат во рок од само 30 минути откако напаѓачите ќе ја напуштат компромитираната средина на жртвата.

„Овие исклучително агресивни писма за изнуда им даваат на организациите рок од три дена да одговорат и да започнат преговори за откуп. Доколку организацијата не реагира, напаѓачите наведуваат дека ќе ги контактираат вработените и надворешните клиенти директно преку телефон и е-пошта за да ги известат за нарушувањето на безбедноста на податоците“, наведува Mandiant.

„Во писмата за изнуда експлицитно се нагласува дека објавувањето на украдените податоци ќе ја наруши довербата на клиентите, ќе доведе до значителни регулаторни казни и дека надворешните клиенти би можеле да ја тужат организацијата поради несоодветно ракување со податоците.“

Извештајот исто така се повикува на неодамнешното предупредување на FBI, во кое органите за спроведување на законот предупредија дека Silent Ransom Group ги таргетира американските адвокатски фирми и преку физички напади за кражба на податоци.

Според FBI, напаѓачите се претставуваат како внатрешен ИТ персонал преку телефонски повици и е-пошта, а потоа се обидуваат да добијат далечински пристап или дури физички да ги посетат канцелариите за да направат „слика“ (image) на компјутерите или резервни копии, додека тајно ги крадат датотеките.

Иако Mandiant наведува дека постојат ограничени форензички докази, истражувачите сметаат дека овие физички напади најверојатно се поврзани со групата UNC3753 поради сличностите во изборот на цели, временската рамка и оперативното однесување.

Silent Ransom Group е активна најмалку од 2022 година, кога била дел од сајбер-криминалниот синдикат Ryuk и Conti.

Како што претходно објави BleepingComputer, истите напаѓачи биле поврзани со callback phishing кампањите BazarCall, кои служеле како почетна точка за пристап во ransomware нападите на Conti и Ryuk.

По распадот на синдикатот Conti во 2022 година, групата се префрлила на самостојни операции за кражба на податоци и изнуда под името Silent Ransom Group.

Истражувачите наведуваат дека групата повеќе не се потпира на традиционално шифрирање на податоците со ransomware, туку целосно се фокусира на изнуда преку кражба на податоци. Во овој модел, тие крадат чувствителни информации и потоа вршат притисок врз жртвите да платат за да спречат нивно јавно објавување.

Во посебен извештај објавен оваа недела, компанијата Resecurity откри дека групата користи и fast-flux инфраструктура за да ги сокрие и заштити своите платформи за објавување на украдени податоци.

DNS fast flux е техника при која напаѓачите постојано ги менуваат IP адресите поврзани со одреден домен користејќи голем број компромитирани уреди, со што ја прикриваат својата инфраструктура и значително го отежнуваат нејзиното блокирање или отстранување.

Според компанијата, оваа инфраструктура користи резиденцијални IP адреси од повеќе држави и интернет-провајдери со цел дополнително да ги отежни обидите за нејзино гаснење.

Resecurity наведува дека страницата за објавување украдени податоци „business-data-leaks[.]com“ и поврзаната инфраструктура се потпираат на мрежи од резиденцијални прокси-сервери распространети низ Латинска Америка, Источна Европа, Централна Азија, Блискиот Исток и Азија. Истражувачите исто така ја поврзале оваа инфраструктура со други сајбер-криминални сервиси и домени.

За заштита од вакви напади, и Mandiant и FBI препорачуваат воведување строги процедури за верификација при комуникација со ИТ поддршка, ограничување на алатките за далечински пристап, задолжителна употреба на повеќефакторска автентикација (MFA), ограничување на USB уредите за складирање податоци и обука на вработените за препознавање на voice phishing (vishing) напади.

За организациите што сакаат подобро да се заштитат од фишинг, Business Email Compromise (BEC) и преземање на кориснички сметки, BleepingComputer организира вебинар со компанијата Abnormal под наслов „Stop chasing alerts: Automating email security with behavioral AI“.

На вебинарот ќе се разгледува како бихевиоралната вештачка интелигенција може да им помогне на безбедносните тимови да откриваат и да реагираат на современи фишинг напади, да ги автоматизираат истрагите и процесите за санација, како и да го намалат оперативниот товар предизвикан од големиот број безбедносни аларми и сè пософистицираните кампањи за социјален инженеринг.

Извори:

• Bleeping Computer – Silent Ransom Group targets law firms with fake IT support calls Bleeping Computer