De FBI waarschuwt dat de Silent Ransom Group haar aanvallen heeft opgevoerd door individuen rechtstreeks naar slachtofferkantoren te sturen om gevoelige gegevens te stelen nadat pogingen tot inbraak op afstand mislukten.
Volgens een nieuwe FBI alert heeft de cybercrimegroep, ook bekend als Luna Moth, Chatty Spider en UNC3753, Amerikaanse advocatenkantoren als doelwit van social engineering-tactieken die bedoeld zijn om op afstand toegang te krijgen tot interne systemen en vertrouwelijke gegevens te exfiltreren voor afpersing.
De FBI zei dat de aanvallers meestal beginnen met het nadoen van interne IT-ondersteuning via phishing-e-mails of directe telefoongesprekken. Slachtoffers krijgen de instructie om deel te nemen aan remote desktop-sessies of remote access-tools te installeren onder het mom technische problemen op te lossen of nep-abonnementskosten te annuleren.
Als de poging tot externe toegang mislukt, is de groep naar verluidt begonnen met het persoonlijk sturen van individuen naar de doelorganisatie. De bezoeker beweert een IT-medewerker te zijn die is gestuurd om het apparaat te imagen of een back-up te maken met betrekking tot het eerdere phishingincident. Eenmaal binnen steekt de persoon een extern opslagapparaat of USB-stick in de computer van het slachtoffer om direct gegevens te stelen.
De FBI zei dat de groep zich richt op snelle datadiefstal in plaats van traditionele ransomware-encryptie. Onderzoekers zagen dat Silent Ransom Group legitieme administratieve en bestandsoverdrachtstools gebruikte, waaronder WinSCP en aangepaste versies van Rclone, om gestolen data stilletjes uit gecompromitteerde omgevingen te verplaatsen.
In tegenstelling tot veel ransomwarebendes laat Silent Ransom Group vaak minimale forensische bewijzen achter omdat slachtoffers vrijwillig toegang verlenen tijdens het social engineering-proces. Traditionele antivirusproducten kunnen de activiteit ook niet detecteren, omdat aanvallers sterk vertrouwen op legitieme systeembeheertools in plaats van op aangepaste malware.
De groep zou sinds minstens 2023 advocatenkantoren hebben aangevallen, hoewel onderzoekers zeggen dat ook organisaties in de gezondheidszorg, financiën en andere sectoren zijn getroffen. Advocatenkantoren worden als bijzonder waardevolle doelwitten beschouwd vanwege de grote hoeveelheid vertrouwelijke juridische, financiële en bedrijfsgegevens die zij opslaan.
Na het stelen van gegevens dreigt de Silent Ransom Group slachtoffers met openbare lekken of verkoop van de gestolen informatie, tenzij losgeldeisen worden betaald. De FBI zei dat aanvallers ook rechtstreeks contact hebben opgenomen met werknemers en cliënten om de druk tijdens afpersingsonderhandelingen te vergroten.
Het Bureau riep organisaties op om de identiteit te verifiëren van iedereen die toegang tot bedrijfssystemen of apparaten aanvraagt, met name van personen die beweren interne IT-medewerkers te zijn. De FBI adviseerde ook het gebruik van externe apparaten, het beperken van externe toegangsrechten en het afdwingen van phishingbestendige multi-factor authenticatie.