El FBI advierte que el Silent Ransom Group ha intensificado sus ataques enviando a individuos directamente a las oficinas víctimas para robar datos sensibles tras fracasar los intentos de intrusión remota.
Según un nuevo FBI alert , el grupo de cibercrimenes, también conocido como Luna Moth, Chatty Spider y UNC3753, ha estado atacando despachos de abogados estadounidenses utilizando tácticas de ingeniería social diseñadas para obtener acceso remoto a sistemas internos y exfiltrar datos confidenciales para su extorsión.
El FBI indicó que los atacantes suelen comenzar suplantándose por personal interno de soporte informático mediante correos electrónicos de phishing o llamadas telefónicas directas. Se instruye a las víctimas para que se unan a sesiones de escritorio remoto o instalen herramientas de acceso remoto bajo el pretexto de resolver problemas técnicos o cancelar cargos de suscripción falsos.
Si el intento de acceso remoto no tiene éxito, según se informa, el grupo ha empezado a enviar personas en persona a la organización objetivo. El visitante afirma ser un empleado de TI enviado para hacer imágenes del dispositivo o crear una copia de seguridad relacionada con el incidente previo de phishing. Una vez dentro, la persona inserta un dispositivo de almacenamiento externo o una unidad USB en el ordenador de la víctima para robar datos directamente.
El FBI afirmó que el grupo se centra en el robo rápido de datos en lugar del cifrado tradicional por ransomware. Los investigadores observaron que Silent Ransom Group utilizaba herramientas administrativas y de transferencia de archivos legítimas, incluyendo WinSCP y versiones modificadas de Rclone, para mover discretamente datos robados desde entornos comprometidos.
A diferencia de muchas bandas de ransomware, Silent Ransom Group a menudo deja una mínima evidencia forense porque las víctimas conceden voluntariamente acceso durante el proceso de ingeniería social. Los productos antivirus tradicionales también pueden no detectar la actividad, ya que los atacantes dependen en gran medida de herramientas legítimas de gestión del sistema en lugar de malware personalizado.
Se informa que el grupo ha atacado despachos de abogados desde al menos 2023, aunque los investigadores afirman que organizaciones de los sectores sanitario, financiero y otros también se han visto afectadas. Los despachos de abogados son considerados objetivos especialmente valiosos debido a la gran cantidad de datos legales, financieros y corporativos confidenciales que almacenan.
Tras robar datos, el Grupo Silencioso de Rescate amenaza a las víctimas con filtraciones públicas o ventas de la información robada a menos que se paguen las demandas de rescate. El FBI afirmó que los atacantes también han contactado directamente con empleados y clientes para aumentar la presión durante las negociaciones de extorsión.
La Agencia instó a las organizaciones a verificar la identidad de cualquier persona que solicite acceso a sistemas o dispositivos de la empresa, especialmente de quienes afirmen ser personal interno de TI. El FBI también recomendó restringir el uso de dispositivos externos, limitar los permisos de acceso remoto y hacer cumplir la autenticación multifactor resistente al phishing.