L’FBI avverte che il Silent Ransom Group ha intensificato i suoi attacchi inviando individui direttamente negli uffici delle vittime per rubare dati sensibili dopo che tentativi di intrusione remota sono falliti.
Secondo un nuovo FBI alert , il gruppo di criminalità informatica, noto anche come Luna Moth, Chatty Spider e UNC3753, ha preso di mira studi legali statunitensi utilizzando tattiche di ingegneria sociale progettate per ottenere accesso remoto ai sistemi interni ed esfiltrare dati riservati per l’estorsione.
L’FBI ha detto che gli aggressori di solito iniziano impersonando il personale interno di supporto IT tramite email di phishing o telefonate dirette. Le vittime sono invitate a partecipare alle sessioni desktop remote o a installare strumenti di accesso remoto con la scusa di risolvere problemi tecnici o annullare falsi costi di abbonamento.
Se il tentativo di accesso remoto non ha successo, il gruppo avrebbe iniziato a inviare di persona le persone all’organizzazione bersaglio. Il visitatore afferma di essere un dipendente IT inviato per rialzare il dispositivo o creare un backup relativo all’incidente di phishing precedente. Una volta all’interno, l’individuo inserisce un dispositivo di archiviazione esterno o una chiavetta USB nel computer della vittima per rubare direttamente i dati.
L’FBI ha dichiarato che il gruppo si concentra sul rapido furto di dati piuttosto che sulla tradizionale crittografia ransomware. Gli investigatori hanno osservato Silent Ransom Group utilizzare strumenti amministrativi e di trasferimento file legittimi, inclusi WinSCP e versioni modificate di Rclone, per trasferire silenziosamente i dati rubati da ambienti compromessi.
A differenza di molte gang di ransomware, Silent Ransom Group spesso lascia poche prove forensi perché le vittime concedono volontariamente l’accesso durante il processo di ingegneria sociale. Anche i prodotti antivirus tradizionali potrebbero non rilevare l’attività, poiché gli attaccanti fanno molto affidamento su strumenti legittimi di gestione del sistema invece che su malware personalizzati.
Il gruppo avrebbe preso di mira studi legali almeno dal 2023, anche se i ricercatori affermano che anche organizzazioni nei settori sanitario, finanziario e di altri settori sono state colpite. Gli studi legali sono considerati bersagli particolarmente preziosi a causa della grande quantità di dati legali, finanziari e aziendali riservati che conservano.
Dopo aver rubato dati, il Silent Ransom Group minaccia le vittime con fughe di notizie pubbliche o vendite delle informazioni rubate a meno che non vengano pagate richieste di riscatto. L’FBI ha dichiarato che gli aggressori hanno anche contattato direttamente dipendenti e clienti per aumentare la pressione durante le trattative di estorsione.
L’Ufficio ha esortato le organizzazioni a verificare l’identità di chiunque richieda l’accesso ai sistemi o ai dispositivi aziendali, in particolare a chi si dichiara personale IT interno. L’FBI ha inoltre raccomandato di limitare l’uso di dispositivi esterni, di limitare i permessi di accesso remoto e di imporre l’autenticazione multifattore resistente al phishing.