Co je Silent Ransom Group a jak útočí na advokátní kanceláře?

Silent Ransom Group (SRG) je kybernetická hrozba, která se fyzicky vydává za IT pracovníky v advokátních kancelářích, aby získala přístup k firemním zařízením, ukradla citlivá data a poté organizace vydírala.

Jak útočníci získávají fyzický přístup k počítačům advokátní kanceláře?

Nejprve si zjistí informace o personálu a IT postupech firmy, pak se osobně dostaví a vydávají se za IT techniky nebo podpůrné dodavatele, přičemž využívají sebevědomí a znalost prostředí, aby přesvědčili zaměstnance, aby jim umožnili přístup.

Proč jsou advokátní kanceláře vůči tomuto typu útoku obzvlášť zranitelné?

Advokátní kanceláře disponují obrovským množstvím privilegovaných, důvěrných klientských dat a fungují v kultuře důvěry, což vede zaměstnance k vyšší ochotě poskytnout přístup někomu, kdo vypadá jako oficiální zástupce IT.

Proč VPN a segmentace sítě nemohou těmto útokům zosobněním zabránit?

Tyto obrany spravují pouze vzdálený provoz a síťové hranice; útočník, který fyzicky sedí u přihlášeného počítače uvnitř kanceláře, je zcela obchází.

Co útočníci dělají poté, co data ukradnou?

Vydávají vyděračské požadavky a vyhrožují zveřejněním nebo prodejem ukradených informací, pokud nebude zaplaceno.

FBI varuje: Silent Ransom Group se fyzicky vydává za IT pracovníky v advokátních kancelářích

FBI vydala oficiální varování, že hrozba známá jako Silent Ransom Group (SRG) cílí na advokátní kanceláře prostřednictvím kombinace sociálního inženýrství a fyzického zosobnění. Na rozdíl od většiny kybernetických útoků, které přicházejí ze vzdálených míst, se operativci SRG objevují osobně, vydávají se za pracovníky IT podpory, získávají fyzický přístup k firemním zařízením, kradou citlivá data a poté organizace vydírají. Pro právní profesionály, kteří se domnívají, že jejich digitální ochrana je dostatečná, je toto varování důrazným probuzením.

Jak Silent Ransom Group získává fyzický přístup do sítí advokátních kanceláří

Mechanismus přístupu SRG je přímočarý, ale vysoce účinný. Útočníci nejprve provádějí průzkum cílové advokátní kanceláře, zjišťují si personál, umístění kanceláří a IT postupy. Poté se osobně dostaví do kanceláře a vydávají se za IT techniky nebo podpůrné dodavatele. Sebevědomým vystupováním a důvěrnou znalostí firemního prostředí přesvědčí zaměstnance, aby jim umožnili přístup k počítačům, serverům nebo jiným síťovým zařízením.

Jakmile jsou uvnitř, získávají data přímo ze zařízení, ke kterým se fyzicky dostanou. To může zahrnovat klientské soubory, dokumentaci k případům, finanční záznamy nebo privilegovanou komunikaci. Po exfiltraci obdrží oběti vyděračské požadavky s hrozbou zveřejnění nebo prodeje ukradených informací, pokud nebude zaplaceno.

Advokátní kanceláře jsou pro tento model obzvlášť atraktivním cílem. Disponují obrovským množstvím citlivých, privilegovaných a často důvěrných klientských dat. Zároveň jde historicky o instituce postavené na důvěře a profesních vztazích, což vede zaměstnance k vyšší ochotě projevit zdvořilost někomu, kdo se tváří jako oficiální pracovník.

Proč VPN a segmentace sítě nezastaví někoho, kdo už je v místnosti

Většina diskusí o kybernetické bezpečnosti se soustředí na vzdálené hrozby: phishingové e-maily, credential stuffing, ransomware doručovaný prostřednictvím škodlivých odkazů. Nástroje, které se nasazují jako reakce, včetně VPN, firewallů a segmentace sítě, jsou navrženy tak, aby kontrolovaly provoz vstupující do systému a vystupující z něj přes internet. Jsou z velké části bezvýznamné, když útočník sedí u pracovní stanice uvnitř budovy.

Útoky fyzickým zosobněním, kterým advokátní kanceláře čelí od skupin jako SRG, obcházejí veškerou síťovou obranu. Pokud někdo usedne k přihlášenému počítači, vícefaktorové ověření už bylo překonáno. Pokud připojí USB disk nebo z lokální sítě přistoupí ke sdílené složce, šifrované tunely mezi vzdálenými uživateli nic neznamenají. Segmentace sítě může do určité míry omezit laterální pohyb, ale nezabrání přístupu k tomu, co je z daného zařízení již dostupné.

To je jádro problému, pokud kybernetickou bezpečnost chápeme jako čistě technickou disciplínu. Lidské chování a fyzické prostředí vytvářejí útočné plochy, které žádný softwarový produkt plně nepokrývá. Stejný princip platí i pro vnitřní hrozby a zneužití přístupových údajů, jak je vidět v případech, kdy jsou kontroly přístupu obejity nikoli sofistikovaným hackováním, ale prostou lidskou chybou nebo nedbalostí – vzorec popsaný v článku o dodavateli CISA, který zveřejnil AWS klíče a hesla ve veřejném repozitáři na GitHubu.

Zero-trust a fyzická bezpečnostní opatření, která tuto hrozbu skutečně zmírňují

Architektura zero-trust se často probírá v kontextu vzdáleného přístupu, ale její základní princip se přímo vztahuje i sem: nikdy nepředpokládejte, že by osoba nebo zařízení měly získat přístup jen proto, že se zdají být na správném místě. Pro fyzické prostředí to znamená několik konkrétních opatření.

Zaprvé je třeba formalizovat a důsledně prosazovat procesy ověřování návštěv a dodavatelů. Každá osoba, která tvrdí, že je z IT podpory, by měla být ověřena nezávislým kanálem, než jí bude umožněn samostatný přístup k jakémukoli zařízení. To znamená zavolat přímo na IT oddělení – ne na číslo poskytnuté návštěvníkem – a potvrdit, že návštěva byla naplánována.

Zadruhé, pracovní stanice a zařízení by měly po každé době nečinnosti vyžadovat opětovné ověření a v ideálním případě by neměly zůstat přihlášené k citlivým systémům bez dozoru. Fyzické zámky portů nebo blokátory USB mohou zabránit neoprávněnému přenosu dat ze zařízení, k nimž bylo získáno neoprávněné přístup.

Zatřetí, záleží na protokolování přístupu na úrovni zařízení. Pokud neoprávněná osoba získá přístup, forenzní stopy pomohou identifikovat, co bylo odcizeno, a omezit rozsah následného vyděračského nároku.

A konečně, školení zaměstnanců musí výslovně řešit scénáře fyzického sociálního inženýrství, nejen phishingové e-maily. Zaměstnanci advokátních kanceláří, zejména pracovníci recepce, by měli vědět, že zdvořilost a úcta k domnělé autoritě jsou přesně ty vlastnosti, které útočníci zneužívají.

Co to znamená pro vás: Konkrétní kroky pro profesionály v citlivých odvětvích

Pokud pracujete v právu, financích, zdravotnictví nebo v jakémkoli jiném oboru, který nakládá s privilegovanými či regulovanými informacemi, měla by vás výstraha FBI ohledně SRG přimět k přezkoumání vašeho zabezpečení jak digitálního, tak fyzického. Zde je návod, kde začít:

Audit protokolů pro přístup návštěv. Má vaše organizace formální proces pro ověřování neplánovaných IT návštěv? Pokud je odpověď ne nebo je nejasná, je třeba tuto mezeru okamžitě zacelit.
Revize zásad zamykání zařízení a ověřování. Zařízení, která se po nečinnosti automaticky zamknou a vyžadují přihlašovací údaje k obnovení činnosti, výrazně zužují okno příležitosti pro fyzického útočníka.
Školte zaměstnance v oblasti fyzického sociálního inženýrství. Provádějte se svým týmem scénáře, kde se někdo vydává za dodavatele nebo IT technika. Procvičujte návyk ověření před udělením přístupu.
Vyhodnoťte model přístupu k datům. Uplatňujte zásady nejnižších privilegií tak, aby i v případě kompromitace pracovní stanice nemohl útočník dosáhnout na data nad rámec toho, s čím daný uživatelský účet běžně pracuje.
Zkontrolujte také zásady vzdáleného přístupu. Fyzická bezpečnost a digitální řízení přístupu fungují společně. Kontrola jednoho bez druhého zanechává mezery.

Varování FBI ohledně Silent Ransom Group je připomínkou, že účinná bezpečnost vyžaduje přemýšlet o hrozbách ve třech rozměrech: síť, zařízení a místnost. Pro profesionály v citlivých odvětvích je nyní čas posoudit, zda by vaše stávající protokoly skutečně zastavily někoho, kdo vejde hlavními dveřmi a tváří se, že sem patří.