Das FBI warnt, dass die Silent Ransom Group ihre Angriffe verschärft hat, indem sie Personen direkt zu Opferbüros schickt, um sensible Daten zu stehlen, nachdem Ferneindringlinge gescheitert sind.
Laut einem neuen FBI alert Bericht hat die Cyberkriminalitätsgruppe, auch bekannt als Luna Moth, Chatty Spider und UNC3753, US-Anwaltskanzleien ins Visier genommen, indem sie Social-Engineering-Taktiken einsetzen, die darauf abzielen, Fernzugriff auf interne Systeme zu erhalten und vertrauliche Daten für Erpressung zu extrahieren.
Das FBI sagte, die Angreifer beginnen typischerweise damit, interne IT-Mitarbeiter durch Phishing-E-Mails oder direkte Telefonate zu imitieren. Opfer werden angewiesen, an Remote-Desktop-Sitzungen teilzunehmen oder Fernzugriffstools unter dem Vorwand der Lösung technischer Probleme oder der Kündigung gefälschter Abonnementgebühren zu installieren.
Wenn der Fernzugriffsversuch erfolglos ist, soll die Gruppe begonnen haben, Personen persönlich zur Zielorganisation zu entsenden. Der Besucher gibt an, ein IT-Mitarbeiter zu sein, der geschickt wurde, um das Gerät zu imagen oder ein Backup im Zusammenhang mit dem früheren Phishing-Vorfall zu erstellen. Im Inneren steckt die Person ein externes Speichermedium oder USB-Stick in den Computer des Opfers, um direkt Daten zu stehlen.
Das FBI erklärte, die Gruppe fokussiere sich auf schnellen Datendiebstahl und nicht auf traditionelle Ransomware-Verschlüsselung. Ermittler beobachteten, wie die Silent Ransom Group legitime Verwaltungs- und Dateiübertragungswerkzeuge einsetzte, darunter WinSCP und modifizierte Versionen von Rclone, um gestohlene Daten leise aus kompromittierten Umgebungen zu bewegen.
Im Gegensatz zu vielen Ransomware-Banden hinterlässt Silent Ransom Group oft nur minimale forensische Beweise, da die Opfer während des Social-Engineering-Prozesses freiwillig Zugang gewähren. Traditionelle Antivirenprodukte können die Aktivitäten ebenfalls nicht erkennen, da die Angreifer stark auf legitime Systemverwaltungstools statt auf maßgeschneiderte Malware setzen.
Die Gruppe hat Berichten zufolge seit mindestens 2023 Anwaltskanzleien ins Visier genommen, wobei Forscher angeben, dass auch Organisationen im Gesundheitswesen, Finanzwesen und anderen Bereichen betroffen sind. Anwaltskanzleien gelten als besonders wertvolle Ziele, da sie eine große Menge an vertraulichen rechtlichen, finanziellen und unternehmensrechtlichen Daten speichern.
Nach dem Diebstahl von Daten droht die Silent Ransom Group den Opfern mit öffentlichen Leaks oder dem Verkauf der gestohlenen Informationen, sofern keine Lösegeldforderungen bezahlt werden. Das FBI erklärte, dass Angreifer auch Mitarbeiter und Kunden direkt kontaktiert haben, um den Druck während Erpressungsverhandlungen zu erhöhen.
Das Büro forderte Organisationen auf, die Identität aller Personen zu überprüfen, die Zugang zu Unternehmenssystemen oder -geräten anfordern, insbesondere von Personen, die sich als interne IT-Mitarbeiter ausgeben. Das FBI empfahl außerdem, die Nutzung externer Geräte einzuschränken, Fernzugriffsberechtigungen einzuschränken und phishing-resistente Mehrfaktor-Authentifizierung durchzusetzen.