Le FBI avertit que le Silent Ransom Group a intensifié ses attaques en envoyant des individus directement dans les bureaux des victimes pour voler des données sensibles après l’échec des tentatives d’intrusion à distance.
Selon un nouveau FBI alert , le groupe de cybercriminalité, également connu sous les noms de Luna Moth, Chatty Spider et UNC3753, vise des cabinets d’avocats américains en utilisant des tactiques d’ingénierie sociale conçues pour accéder à distance aux systèmes internes et exfiltrer des données confidentielles pour extorquer.
Le FBI a indiqué que les assaillants commencent généralement par se faire passer pour le personnel informatique interne via des e-mails de phishing ou des appels téléphoniques directs. Les victimes sont invitées à rejoindre des sessions de bureau à distance ou à installer des outils d’accès à distance sous prétexte de résoudre des problèmes techniques ou d’annuler de fausses frais d’abonnement.
Si la tentative d’accès à distance échoue, le groupe aurait commencé à dépêcher des individus en personne vers l’organisation ciblée. Le visiteur prétend être un employé informatique envoyé pour imager l’appareil ou créer une sauvegarde liée à l’incident de phishing précédent. Une fois à l’intérieur, la personne insère un dispositif de stockage externe ou une clé USB dans l’ordinateur de la victime pour voler directement les données.
Le FBI a indiqué que le groupe se concentre sur le vol rapide de données plutôt que sur le chiffrement traditionnel par ransomware. Les enquêteurs ont observé que Silent Ransom Group utilisait des outils administratifs et de transfert de fichiers légitimes, notamment WinSCP et des versions modifiées de Rclone pour déplacer discrètement des données volées depuis des environnements compromis.
Contrairement à de nombreux gangs de ransomware, Silent Ransom Group laisse souvent peu de preuves médico-légales car les victimes accordent volontairement l’accès lors du processus d’ingénierie sociale. Les antivirus traditionnels peuvent également ne pas détecter cette activité, car les attaquants s’appuient fortement sur des outils de gestion système légitimes plutôt que sur des malwares personnalisés.
Le groupe cible apparemment des cabinets d’avocats depuis au moins 2023, bien que des chercheurs indiquent que des organisations dans les secteurs de la santé, de la finance et d’autres secteurs ont également été touchées. Les cabinets d’avocats sont considérés comme des cibles particulièrement précieuses en raison de la grande quantité de données confidentielles juridiques, financières et corporatives qu’ils stockent.
Après avoir volé des données, le Silent Ransom Group menace les victimes de fuites publiques ou de ventes d’informations volées à moins que les demandes de rançon ne soient payées. Le FBI a indiqué que les assaillants ont également contacté directement des employés et des clients pour accroître la pression lors des négociations d’extorsion.
Le Bureau a exhorté les organisations à vérifier l’identité de toute personne demandant l’accès aux systèmes ou appareils de l’entreprise, en particulier les personnes se présentant comme du personnel informatique interne. Le FBI a également recommandé de restreindre l’utilisation d’appareils externes, de limiter les permissions d’accès à distance et de faire respecter une authentification multifacteur résistante au phishing.