What is the Silent Ransom Group and how are they attacking law firms?

The Silent Ransom Group (SRG) is a threat actor that physically impersonates IT staff at law firms to gain access to office devices, steal sensitive data, and then extort the organizations.

How do attackers gain physical access to a law firm’s computers?

They first research the firm’s personnel and IT workflows, then show up in person posing as IT technicians or support contractors, using confidence and familiarity to convince staff to grant them access.

Why are law firms particularly vulnerable to this type of attack?

Law firms hold vast amounts of privileged, confidential client data and operate in a culture of trust, which makes staff more inclined to extend access to someone who appears to be an official IT representative.

Why can’t VPNs and network segmentation prevent these impersonation attacks?

These defenses only manage remote traffic and network boundaries; an attacker who is physically sitting at a logged-in computer inside the office bypasses them entirely.

What do the attackers do after stealing the data?

They issue extortion demands, threatening to publish or sell the stolen information if payment is not made.

مكتب التحقيقات الفيدرالي يحذر من أن مجموعة Silent Ransom تنتحل صفة موظفي دعم تقنية المعلومات في مكاتب المحاماة

أصدر مكتب التحقيقات الفيدرالي تحذيرًا رسميًا يفيد بأن جهة تهديد تُعرف باسم Silent Ransom Group (SRG) تستهدف مكاتب المحاماة من خلال مزيج من الهندسة الاجتماعية وهجمات انتحال الشخصية الفعلية. وعلى عكس معظم الهجمات السيبرانية التي تنطلق من مواقع بعيدة، يظهر عناصر المجموعة شخصيًا منتحلين صفة موظفي دعم تقنية المعلومات، ليتمكنوا من الوصول الفعلي إلى الأجهزة المكتبية وسرقة البيانات الحساسة ثم ابتزاز المؤسسات. بالنسبة للمهنيين القانونيين الذين يفترضون أن دفاعاتهم الرقمية كافية، يُعد هذا التحذير جرس إنذار كبير.

كيف تتمكن مجموعة Silent Ransom من الوصول الفعلي إلى شبكات مكاتب المحاماة

آلية عمل المجموعة بسيطة لكنها فعّالة جدًا. يجري المهاجمون استطلاعًا مسبقًا عن مكتب المحاماة المستهدف، لتحديد الموظفين ومواقع المكاتب وآليات عمل تقنية المعلومات. ثم يحضرون فعليًا إلى المكتب منتحلين صفة فنيي تقنية معلومات أو مقاولي دعم. ومن خلال إظهار الثقة والألفة ببيئة المكتب، يقنعون الموظفين بمنحهم إمكانية الوصول إلى أجهزة الكمبيوتر أو الخوادم أو الأجهزة الأخرى المتصلة بالشبكة.

بمجرد الدخول، تستخرج المجموعة البيانات مباشرة من الأجهزة التي يتمكنون من الوصول إليها فعليًا. وقد يشمل ذلك ملفات العملاء ووثائق القضايا والسجلات المالية والمراسلات السرية. بعد سحب البيانات، يتلقى الضحايا طلبات ابتزاز مع التهديد بنشر المعلومات المسروقة أو بيعها إذا لم يُدفع المبلغ المطلوب.

تعد مكاتب المحاماة هدفًا جذابًا للغاية في هذا النموذج. فهي تحتفظ بكميات هائلة من بيانات العملاء الحساسة والسرية والمتميزة. كما أنها تاريخيًا مؤسسات مبنية على الثقة والعلاقات المهنية، مما يجعل الموظفين أكثر ميلًا لتقديم التعامل بلطف لشخص يبدو أنه موجود بصفة رسمية.

لماذا لا تمنع الشبكات الخاصة الافتراضية وتجزئة الشبكات شخصًا موجودًا بالفعل داخل الغرفة

تتركز معظم نقاشات الأمن السيبراني على التهديدات عن بُعد: رسائل البريد الإلكتروني التصيدية، وملء بيانات الاعتماد، وبرامج الفدية المنقولة عبر روابط خبيثة. والأدوات المستخدمة عادة للتصدي لهذه التهديدات، بما فيها الشبكات الخاصة الافتراضية والجدران النارية وتجزئة الشبكات، مصممة للتحكم في حركة البيانات التي تدخل وتخرج من النظام عبر الإنترنت. وهي غير ذات صلة إلى حد كبير عندما يكون المهاجم جالسًا أمام محطة عمل داخل المبنى.

هجمات انتحال الشخصية الفعلية التي تتعرض لها مكاتب المحاماة من مجموعات مثل SRG تتجاوز كل طبقة من طبقات الدفاع المعتمدة على الشبكة. إذا مُنح الشخص مقعدًا أمام جهاز كمبيوتر مسجّل الدخول، فهذا يعني أن المصادقة متعددة العوامل قد تجاوزها بالفعل. وإذا قام بتوصيل محرك أقراص USB أو الوصول إلى مجلد مشترك عبر الشبكة المحلية، فإن الأنفاق المشفرة بين المستخدمين عن بُعد تصبح بلا قيمة. يمكن لتجزئة الشبكات أن تحد من الحركة الجانبية إلى حد ما، لكنها لا تمنع الوصول إلى ما هو متاح بالفعل من الجهاز المستخدم.

هذه هي المشكلة الأساسية في التعامل مع الأمن السيبراني على أنه تخصص تقني بحت. إذ يخلق السلوك البشري والبيئات المادية أسطح هجوم لا يعالجها أي منتج برمجي بالكامل. وينطبق المبدأ نفسه على التهديدات الداخلية وإساءة استخدام بيانات الاعتماد، كما هو واضح في الحالات التي يتم فيها تجاوز ضوابط الوصول ليس من خلال اختراق متطور ولكن من خلال خطأ بشري بسيط أو إهمال، وهو نمط تم تناوله في تغطية حادثة متعاقد مع وكالة الأمن السيبراني والبنية التحتية (CISA) كشف مفاتيح AWS وكلمات مرور على مستودع GitHub عام.

نموذج الأمان صفري الثقة وضوابط الأمن المادي التي تخفف فعليًا من هذا التهديد

غالبًا ما يُناقش نموذج الأمان صفري الثقة في سياق الوصول عن بُعد، لكن مبدأه الأساسي ينطبق مباشرة هنا: لا تفترض أبدًا أن شخصًا أو جهازًا يجب أن يحصل على إمكانية الوصول لمجرد أنه يبدو في المكان المناسب. بالنسبة للبيئات المادية، يُترجم هذا إلى مجموعة من الممارسات الملموسة.

أولاً، يجب وضع إجراءات رسمية للتحقق من الزوار والموردين وتنفيذها باستمرار. أي شخص يدعي أنه من دعم تقنية المعلومات يجب التحقق منه من خلال قناة مستقلة قبل منحه إمكانية الوصول غير الخاضع للرقابة إلى أي جهاز. هذا يعني الاتصال بقسم تقنية المعلومات مباشرة، وليس برقم يقدمه الزائر، والتأكد من أن الزيارة كانت مجدولة.

ثانيًا، يجب أن تتطلب محطات العمل والأجهزة إعادة المصادقة بعد أي فترة خمول، ومن الأفضل ألا تظل الأجهزة مسجلة الدخول إلى الأنظمة الحساسة عندما تكون دون مراقبة. يمكن لأقفال المنافذ المادية أو حواجز USB منع نقل البيانات غير المصرح به من الأجهزة التي يتم الوصول إليها دون تصريح.

ثالثًا، تسجيل الوصول على مستوى الجهاز مهم. فإذا تمكن شخص غير مصرح له من الوصول، تساعد السجلات الجنائية في تحديد ما تم أخذه وتحد من نطاق مطالبة الابتزاز اللاحقة.

أخيرًا، يجب أن يتناول تدريب الموظفين بشكل صريح سيناريوهات الهندسة الاجتماعية المادية، وليس فقط رسائل البريد الإلكتروني التصيدية. ينبغي أن يعلم الموظفون في مكاتب المحاماة، وخاصة موظفو الاستقبال، أن التهذيب والإذعان للسلطة الظاهرية هما بالضبط الصفات التي يستغلها المهاجمون.

ماذا يعني هذا بالنسبة لك: خطوات عملية للمهنيين في الصناعات الحساسة

إذا كنت تعمل في القانون أو المالية أو الرعاية الصحية أو أي مجال آخر يتعامل مع معلومات سرية أو خاضعة للتنظيم، فيجب أن يدفعك تحذير مجموعة SRG إلى مراجعة وضع أمنك الرقمي والمادي. إليك من أين تبدأ:

تدقيق بروتوكولات وصول الزوار. هل لدى مؤسستك عملية رسمية للتحقق من زيارات تقنية المعلومات غير المجدولة؟ إذا كان الجواب لا أو غير واضح، فيجب سد هذه الفجوة فورًا.
مراجعة سياسات قفل الأجهزة والمصادقة. الأجهزة التي تُقفل تلقائيًا بعد الخمول وتتطلب بيانات اعتماد لاستئناف العمل تقلل بشكل كبير من فرصة المهاجم الفعلي.
تدريب الموظفين على الهندسة الاجتماعية المادية. قم بتنفيذ سيناريوهات مع فريقك حيث ينتحل شخص ما صفة مورد أو متعاقد تقنية معلومات. مارس عادة التحقق قبل منح الوصول.
تقييم نموذج الوصول إلى البيانات لديك. طبق مبادئ الامتياز الأدنى بحيث لا يستطيع المهاجم، حتى إذا تم اختراق محطة عمل، الوصول إلى بيانات تتجاوز ما يتعامل معه حساب المستخدم المحدد عادة.
تحقق من سياسات الوصول عن بُعد أيضًا. الأمن المادي وضوابط الوصول الرقمية يعملان معًا. مراجعة أحدهما دون الآخر يترك فجوات.

يُذكّر تحذير مكتب التحقيقات الفيدرالي بشأن مجموعة Silent Ransom بأن الأمن الفعّال يتطلب التفكير في التهديدات بأبعاد ثلاثة: الشبكة، والجهاز، والغرفة. بالنسبة للمهنيين في الصناعات الحساسة، حان الوقت لتقييم ما إذا كانت بروتوكولاتك الحالية ستوقف فعليًا شخصًا يدخل من الباب الأمامي ويبدو وكأنه ينتمي إلى المكان.