What is the Silent Ransom Group and how are they attacking law firms?

The Silent Ransom Group (SRG) is a threat actor that physically impersonates IT staff at law firms to gain access to office devices, steal sensitive data, and then extort the organizations.

How do attackers gain physical access to a law firm’s computers?

They first research the firm’s personnel and IT workflows, then show up in person posing as IT technicians or support contractors, using confidence and familiarity to convince staff to grant them access.

Why are law firms particularly vulnerable to this type of attack?

Law firms hold vast amounts of privileged, confidential client data and operate in a culture of trust, which makes staff more inclined to extend access to someone who appears to be an official IT representative.

Why can’t VPNs and network segmentation prevent these impersonation attacks?

These defenses only manage remote traffic and network boundaries; an attacker who is physically sitting at a logged-in computer inside the office bypasses them entirely.

What do the attackers do after stealing the data?

They issue extortion demands, threatening to publish or sell the stolen information if payment is not made.

Το FBI Προειδοποιεί ότι η Ομάδα Silent Ransom Group Παριστάνει Σωματικά το Προσωπικό IT σε Δικηγορικά Γραφεία

Το FBI εξέδωσε επίσημη προειδοποίηση ότι μια ομάδα απειλής γνωστή ως Silent Ransom Group (SRG) στοχεύει δικηγορικά γραφεία μέσω ενός συνδυασμού κοινωνικής μηχανικής και σωματικών επιθέσεων πλαστοπροσωπίας. Σε αντίθεση με τις περισσότερες κυβερνοεπιθέσεις που προέρχονται από απομακρυσμένες τοποθεσίες, τα μέλη της SRG εμφανίζονται αυτοπροσώπως, προσποιούμενα το προσωπικό υποστήριξης IT, αποκτώντας φυσική πρόσβαση σε συσκευές γραφείου, κλέβοντας ευαίσθητα δεδομένα και στη συνέχεια εκβιάζοντας τους οργανισμούς. Για τους επαγγελματίες του νομικού κλάδου που υποθέτουν ότι οι ψηφιακές τους άμυνες είναι επαρκείς, αυτή η ειδοποίηση αποτελεί μια σημαντική αφύπνιση.

Πώς η Silent Ransom Group Αποκτά Φυσική Πρόσβαση στα Δίκτυα Δικηγορικών Γραφείων

Η μηχανική της προσέγγισης της SRG είναι απλή αλλά εξαιρετικά αποτελεσματική. Οι επιτιθέμενοι διεξάγουν αναγνώριση ενός στοχευμένου δικηγορικού γραφείου, εντοπίζοντας προσωπικό, τοποθεσίες γραφείων και ροές εργασίας IT. Στη συνέχεια, παρουσιάζονται φυσικά στο γραφείο, υποδυόμενοι τεχνικούς IT ή εργολάβους υποστήριξης. Προβάλλοντας αυτοπεποίθηση και εξοικείωση με το περιβάλλον της εταιρείας, πείθουν το προσωπικό να τους παραχωρήσει πρόσβαση σε υπολογιστές, διακομιστές ή άλλες δικτυωμένες συσκευές.

Μόλις εισέλθουν, η ομάδα εξάγει δεδομένα απευθείας από τα μηχανήματα στα οποία έχουν φυσική επαφή. Αυτά μπορεί να περιλαμβάνουν αρχεία πελατών, τεκμηρίωση υποθέσεων, οικονομικά αρχεία ή προνομιακές επικοινωνίες. Μετά την εξαγωγή, τα θύματα λαμβάνουν αιτήματα εκβιασμού, με την απειλή δημοσίευσης ή πώλησης των κλεμμένων πληροφοριών εάν δεν πραγματοποιηθεί η πληρωμή.

Τα δικηγορικά γραφεία είναι ένας ιδιαίτερα ελκυστικός στόχος σε αυτό το μοντέλο. Κατέχουν τεράστιους όγκους ευαίσθητων, προνομιακών και συχνά εμπιστευτικών δεδομένων πελατών. Είναι επίσης, ιστορικά, οργανισμοί που βασίζονται στην εμπιστοσύνη και τις επαγγελματικές σχέσεις, γεγονός που καθιστά το προσωπικό πιο διατεθειμένο να επιδείξει ευγένεια σε κάποιον που φαίνεται να βρίσκεται εκεί με επίσημη ιδιότητα.

Γιατί τα VPN και η Τμηματοποίηση Δικτύου Δεν Σταματούν Κάποιον που Βρίσκεται Ήδη στο Δωμάτιο

Οι περισσότερες συζητήσεις για την κυβερνοασφάλεια επικεντρώνονται σε απομακρυσμένες απειλές: email phishing, γέμισμα διαπιστευτηρίων, ransomware που παραδίδεται μέσω κακόβουλων συνδέσμων. Τα εργαλεία που συνήθως αναπτύσσονται ως απάντηση, συμπεριλαμβανομένων των VPN, των τειχών προστασίας και της τμηματοποίησης δικτύου, έχουν σχεδιαστεί για να ελέγχουν την κίνηση που εισέρχεται και εξέρχεται από ένα σύστημα μέσω του διαδικτύου. Είναι σε μεγάλο βαθμό άσχετα όταν ένας επιτιθέμενος κάθεται σε έναν σταθμό εργασίας μέσα στο κτίριο.

Οι επιθέσεις σωματικής πλαστοπροσωπίας που αντιμετωπίζουν τα δικηγορικά γραφεία από ομάδες όπως η SRG παρακάμπτουν κάθε επίπεδο άμυνας που βασίζεται στο δίκτυο. Εάν σε κάποιον δοθεί μια θέση σε έναν συνδεδεμένο υπολογιστή, ο έλεγχος ταυτότητας πολλαπλών παραγόντων έχει ήδη περάσει. Εάν συνδέσει μια μονάδα USB ή αποκτήσει πρόσβαση σε έναν κοινόχρηστο φάκελο μέσω του τοπικού δικτύου, οι κρυπτογραφημένες σήραγγες μεταξύ απομακρυσμένων χρηστών δεν σημαίνουν τίποτα. Η τμηματοποίηση δικτύου μπορεί να περιορίσει την πλευρική κίνηση σε κάποιο βαθμό, αλλά δεν εμποδίζει την πρόσβαση σε ό,τι είναι ήδη προσβάσιμο από τη συσκευή που χρησιμοποιείται.

Αυτό είναι το βασικό πρόβλημα με την αντιμετώπιση της κυβερνοασφάλειας ως αμιγώς τεχνικού κλάδου. Η ανθρώπινη συμπεριφορά και τα φυσικά περιβάλλοντα δημιουργούν επιφάνειες επίθεσης που κανένα προϊόν λογισμικού δεν αντιμετωπίζει πλήρως. Η ίδια αρχή ισχύει για τις εσωτερικές απειλές και την κατάχρηση διαπιστευτηρίων, όπως φάνηκε σε περιπτώσεις όπου οι έλεγχοι πρόσβασης παρακάμπτονται όχι από εξελιγμένο hacking αλλά από απλό ανθρώπινο λάθος ή αμέλεια, ένα μοτίβο που διερευνάται στην κάλυψη ενός εργολάβου της CISA που εξέθεσε κλειδιά AWS και κωδικούς πρόσβασης σε ένα δημόσιο αποθετήριο GitHub.

Μηδενική Εμπιστοσύνη και Έλεγχοι Φυσικής Ασφάλειας που Πραγματικά Μειώνουν Αυτήν την Απειλή

Η αρχιτεκτονική μηδενικής εμπιστοσύνης συζητείται συχνά στο πλαίσιο της απομακρυσμένης πρόσβασης, αλλά η βασική της αρχή εφαρμόζεται άμεσα εδώ: μην υποθέτετε ποτέ ότι ένα άτομο ή μια συσκευή πρέπει να έχει πρόσβαση απλώς και μόνο επειδή φαίνεται να βρίσκεται στο σωστό μέρος. Για φυσικά περιβάλλοντα, αυτό μεταφράζεται σε μερικές συγκεκριμένες πρακτικές.

Πρώτον, οι διαδικασίες επαλήθευσης επισκεπτών και προμηθευτών πρέπει να επισημοποιηθούν και να επιβάλλονται με συνέπεια. Οποιοδήποτε άτομο ισχυρίζεται ότι είναι υποστήριξη IT θα πρέπει να επαληθεύεται μέσω ενός ανεξάρτητου καναλιού προτού του παραχωρηθεί πρόσβαση χωρίς επίβλεψη σε οποιαδήποτε συσκευή. Αυτό σημαίνει να καλέσετε απευθείας το τμήμα IT, χωρίς να χρησιμοποιήσετε έναν αριθμό που παρέχεται από τον επισκέπτη, και να επιβεβαιώσετε ότι η επίσκεψη είχε προγραμματιστεί.

Δεύτερον, οι σταθμοί εργασίας και οι συσκευές θα πρέπει να απαιτούν εκ νέου πιστοποίηση μετά από οποιαδήποτε περίοδο αδράνειας και ιδανικά δεν θα πρέπει να παραμένουν συνδεδεμένοι σε ευαίσθητα συστήματα όταν δεν επιβλέπονται. Οι κλειδαριές φυσικών θυρών ή οι αποκλειστές USB μπορούν να αποτρέψουν μη εξουσιοδοτημένες μεταφορές δεδομένων από συσκευές στις οποίες αποκτάται πρόσβαση χωρίς άδεια.

Τρίτον, η καταγραφή πρόσβασης σε επίπεδο συσκευής έχει σημασία. Εάν ένα μη εξουσιοδοτημένο άτομο αποκτήσει πρόσβαση, τα εγκληματολογικά ίχνη βοηθούν στον εντοπισμό του τι ελήφθη και στον περιορισμό του εύρους μιας επακόλουθης αξίωσης εκβιασμού.

Τέλος, η εκπαίδευση του προσωπικού πρέπει να αντιμετωπίζει ρητά σενάρια σωματικής κοινωνικής μηχανικής, όχι μόνο email phishing. Οι εργαζόμενοι σε δικηγορικά γραφεία, ιδιαίτερα το προσωπικό της υποδοχής, θα πρέπει να γνωρίζουν ότι η ευγένεια και ο σεβασμός προς την φαινομενική εξουσία είναι ακριβώς τα χαρακτηριστικά που εκμεταλλεύονται οι επιτιθέμενοι.

Τι Σημαίνει Αυτό Για Εσάς: Πρακτικά Βήματα για Επαγγελματίες σε Ευαίσθητους Κλάδους

Εάν εργάζεστε στον νομικό, οικονομικό, υγειονομικό ή οποιονδήποτε άλλο τομέα που χειρίζεται προνομιακές ή ρυθμιζόμενες πληροφορίες, η ειδοποίηση SRG θα πρέπει να προκαλέσει μια αναθεώρηση τόσο της ψηφιακής όσο και της φυσικής σας στάσης ασφάλειας. Δείτε από πού να ξεκινήσετε:

Έλεγχος πρωτοκόλλων πρόσβασης επισκεπτών. Διαθέτει ο οργανισμός σας μια επίσημη διαδικασία για την επαλήθευση μη προγραμματισμένων επισκέψεων IT; Εάν η απάντηση είναι όχι ή ασαφής, αυτό το κενό πρέπει να κλείσει αμέσως.
Αναθεώρηση πολιτικών κλειδώματος συσκευών και πιστοποίησης. Οι συσκευές που κλειδώνουν αυτόματα μετά από αδράνεια και απαιτούν διαπιστευτήρια για τη συνέχεια μειώνουν σημαντικά το παράθυρο ευκαιρίας για έναν φυσικό επιτιθέμενο.
Εκπαίδευση προσωπικού στη σωματική κοινωνική μηχανική. Εκτελέστε σενάρια με την ομάδα σας όπου κάποιος υποδύεται έναν προμηθευτή ή εργολάβο IT. Εξασκήστε τη συνήθεια της επαλήθευσης πριν από την πρόσβαση.
Αξιολόγηση του μοντέλου πρόσβασης στα δεδομένα σας. Εφαρμόστε αρχές ελάχιστου προνομίου, έτσι ώστε ακόμη και αν ένας σταθμός εργασίας παραβιαστεί, ο επιτιθέμενος να μην μπορεί να φτάσει σε δεδομένα πέρα από αυτά που χειρίζεται κανονικά ο συγκεκριμένος λογαριασμός χρήστη.
Ελέγξτε επίσης τις πολιτικές απομακρυσμένης πρόσβασης. Η φυσική ασφάλεια και οι ψηφιακοί έλεγχοι πρόσβασης συνεργάζονται. Η αναθεώρηση του ενός χωρίς το άλλο αφήνει κενά.

Η ειδοποίηση του FBI για την Silent Ransom Group είναι μια υπενθύμιση ότι η αποτελεσματική ασφάλεια απαιτεί να σκεφτόμαστε τις απειλές σε τρεις διαστάσεις: το δίκτυο, τη συσκευή και το δωμάτιο. Για τους επαγγελματίες σε ευαίσθητους κλάδους, τώρα είναι η ώρα να αξιολογήσετε εάν τα τρέχοντα πρωτόκολλά σας θα σταματούσαν πραγματικά κάποιον που μπαίνει από την μπροστινή πόρτα μοιάζοντας να ανήκει εκεί.