FBI, Silent Ransom Group’un uzaktan müdahale girişimleri başarısız olduktan sonra kişileri doğrudan mağdur ofislerine göndererek hassas verileri çalmaya yönlendirerek saldırılarını tırmandırdığını uyarıyor.
Yeni FBI alert bir rapora göre, Luna Moth, Chatty Spider ve UNC3753 olarak da bilinen siber suç grubu, ABD hukuk firmalarını sosyal mühendislik taktikleriyle hedef alıyor; bu taktikler iç sistemlere uzaktan erişim sağlamak ve gizli verileri zorlamak için sızdırmak için tasarlandı.
FBI, saldırganların genellikle dahili BT destek personelini taklit ederek oltalama e-postaları veya doğrudan telefon görüşmeleri yoluyla başladığını belirtti. Mağdurlara, teknik sorunları çözmek veya sahte abonelik ücretlerini iptal etmek bahanesiyle uzaktan masaüstü oturumlarına katılmaları veya uzaktan erişim araçları kurmaları talimatı veriliyor.
Uzaktan erişim girişimi başarısız olursa, grubun bireyleri hedef kuruluşa bizzat göndermeye başladığı bildiriliyor. Ziyaretçi, cihazın görüntüsünü görmek veya önceki oltalama olayı ile ilgili yedek oluşturmak için gönderilen bir BT çalışanı olduğunu iddia ediyor. İçeri girdikten sonra, kişi doğrudan veri çalmak için kurbanın bilgisayarına harici bir depolama cihazı veya USB sürücü takıyor.
FBI, grubun geleneksel fidye yazılımı şifrelemesi yerine hızlı veri hırsızlığına odaklandığını belirtti. Araştırmacılar, Silent Ransom Group’un WinSCP ve değiştirilmiş Rclone gibi yasal idari ve dosya transfer araçları kullanarak çalınan verileri tehlikeye girmiş ortamlardan sessizce hareket ettirdiğini gözlemledi.
Birçok fidye yazılımı çetesinin aksine, Silent Ransom Group genellikle minimum adli kanıt bırakır çünkü mağdurlar sosyal mühendislik sürecinde gönüllü olarak erişim izni verir. Geleneksel antivirüs ürünleri de bu aktiviteyi tespit edemeyebilir çünkü saldırganlar özel kötü amaçlı yazılım yerine meşru sistem yönetim araçlarına büyük ölçüde güvenir.
Grubun en az 2023’ten beri hukuk firmalarını hedef aldığı söyleniyor, ancak araştırmacılar sağlık, finans ve diğer sektörlerdeki kuruluşların da etkilendiğini söylüyor. Hukuk firmaları, depoladıkları büyük miktarda gizli hukuk, finansal ve kurumsal veri nedeniyle özellikle değerli hedefler olarak kabul edilir.
Veri çaldıktan sonra, Silent Ransom Group kurbanları fidye talepleri ödenmezse kamuya sızdırma veya çalınan bilgilerin satışıyla tehdit ediyor. FBI, saldırganların şantaj müzakereleri sırasında baskıyı artırmak için çalışanlar ve müşterilerle doğrudan iletişime geçtiklerini söyledi.
Büro, kuruluşları, özellikle dahili BT personeli olduğunu iddia eden kişilerin şirket sistemlerine veya cihazlarına erişim talep eden herkesin kimliğini doğrulamaya çağırdı. FBI ayrıca harici cihaz kullanımının kısıtlanması, uzaktan erişim izinlerinin sınırlandırılması ve oltalamaya dayanıklı çok faktörlü kimlik doğrulamanın zorunlu kılınmasını önerdi.