FBI varoittaa: Silent Ransom Group esiintyy fyysisesti IT-henkilöstönä asianajotoimistoissa

FBI varoittaa: Silent Ransom Group esiintyy fyysisesti IT-henkilöstönä asianajotoimistoissa

FBI on antanut virallisen hälytyksen, jossa varoitetaan Silent Ransom Group (SRG) -nimisen uhkatoimijan kohdistavan asianajotoimistoihin yhdistettyjen sosiaalisen manipuloinnin ja fyysisten esiintymishyökkäysten kautta. Toisin kuin useimmat etänä toteutettavat kyberhyökkäykset, SRG:n toimijat ilmestyvät paikan päälle, esiintyvät IT-tukihenkilöstönä, saavat fyysisen pääsyn toimiston laitteisiin, varastavat arkaluonteisia tietoja ja kiristävät sitten organisaatioita. Ammattilaisille, jotka olettavat digitaalisten puolustustensa riittävän, tämä hälytys on merkittävä herätys.

Kuinka Silent Ransom Group saa fyysisen pääsyn asianajotoimistojen verkkoihin

SRG:n lähestymistavan mekaniikka on suoraviivaista mutta erittäin tehokasta. Hyökkääjät suorittavat tiedustelua kohdeasianajotoimistosta, kartoittaen henkilöstöä, toimistotiloja ja IT-työnkulkuja. Sitten he ilmaantuvat fyysisesti toimistolle esiintyen IT-teknikkoina tai tukipalveluiden alihankkijoina. Esiintymällä itsevarmasti ja osoittaen tuntevansa yrityksen ympäristön he saavat henkilökunnan luovuttamaan pääsyn tietokoneille, palvelimille tai muille verkkolaitteille.

Sisälle päästyään ryhmä kopioi tietoja suoraan laitteista, joihin heillä on fyysinen kosketus. Tämä voi sisältää asiakastiedostoja, oikeustapausaineistoja, taloustietoja tai luottamuksellista viestintää. Tietojen viennin jälkeen uhrit saavat kiristysvaatimuksia, joissa uhataan julkaista tai myydä varastetut tiedot, jos maksua ei suoriteta.

Asianajotoimistot ovat tässä mallissa erityisen houkutteleva kohde. Ne säilyttävät valtavia määriä arkaluonteisia, suojattuja ja usein luottamuksellisia asiakastietoja. Ne ovat myös perinteisesti instituutioita, jotka rakentuvat luottamukselle ja ammatillisille suhteille, mikä tekee henkilökunnasta taipuvaisemman kohteliaisuuteen sellaista kohtaan, joka vaikuttaa olevan paikalla virallisessa ominaisuudessa.

Miksi VPN:t ja verkon segmentointi eivät pysäytä hyökkääjää, joka on jo huoneessa

Useimmat kyberturvallisuuskeskustelut keskittyvät etäuhkiin: tietojenkalasteluviesteihin, tunnusten täyttöhyökkäyksiin ja haitallisten linkkien kautta levitettäviin kiristyshaittaohjelmiin. Tyypillisesti käyttöön otetut työkalut, mukaan lukien VPN:t, palomuurit ja verkon segmentointi, on suunniteltu hallitsemaan sitä, mitä liikennettä järjestelmään internetin kautta saapuu ja poistuu. Ne ovat suurelta osin merkityksettömiä, kun hyökkääjä istuu työasemalla rakennuksen sisällä.

Fyysiset esiintymishyökkäykset, joita asianajotoimistoihin SRG:n kaltaisten ryhmien taholta kohdistuu, ohittavat kaikki verkkoperustaiset puolustuskerrokset. Jos hyökkääjä päästetään kirjautuneen tietokoneen ääreen, monivaiheinen tunnistautuminen on jo läpäisty. Jos hän kytkeytyy USB-asemaan tai pääsee paikallisverkon jaettuun kansioon, etäkäyttäjien väliset salatut tunnelit eivät merkitse mitään. Verkon segmentointi voi jossain määrin rajoittaa sivuttaisliikettä, mutta se ei estä pääsyä siihen, mikä on jo saavutettavissa käytössä olevalta laitteelta.

Tämä on keskeinen ongelma kyberturvallisuuden käsittelyssä puhtaasti teknisenä alana. Ihmisten käyttäytyminen ja fyysiset ympäristöt luovat hyökkäyspintoja, joita mikään ohjelmistotuote ei täysin kata. Sama periaate koskee sisäpiiriuhkia ja käyttöoikeustietojen väärinkäyttöä, kuten on nähty tapauksissa, joissa pääsynvalvontaa ohitetaan ei hienostuneella hakkeroinnilla vaan yksinkertaisella inhimillisellä virheellä tai huolimattomuudella – kuvio, jota on tarkasteltu CISA-urakoitsijan AWS-avaimien ja salasanojen paljastumista julkisessa GitHub-repossa käsittelevässä uutisessa.

Zero-trust ja fyysiset suojaustoimet, jotka todella lieventävät tätä uhkaa

Zero-trust-arkkitehtuurista puhutaan usein etäkäytön yhteydessä, mutta sen ydinperiaate soveltuu tähän suoraan: älä koskaan oleta, että henkilöllä tai laitteella tulisi olla pääsy vain siksi, että he vaikuttavat olevan oikeassa paikassa. Fyysisissä ympäristöissä tämä merkitsee muutamia konkreettisia käytäntöjä.

Ensinnäkin vierailijoiden ja toimittajien todentamisprosessit on virallistettava ja pantava johdonmukaisesti täytäntöön. Jokainen IT-tukihenkilöksi itseään väittävä tulisi todentaa riippumattoman kanavan kautta ennen kuin hänelle annetaan valvomaton pääsy millekään laitteelle. Tämä tarkoittaa soittamista suoraan IT-osastolle – ei vierailijan antamaan numeroon – ja sen varmistamista, että käynti on sovittu.

Toiseksi työasemien ja laitteiden tulisi vaatia uudelleentunnistautumista käyttämättömyysjaksojen jälkeen, eikä niiden tulisi ihannetapauksessa jäädä kirjautuneina arkaluonteisiin järjestelmiin ilman valvontaa. Fyysiset porttilukot tai USB-estäjät voivat estää luvattomat tiedonsiirrot laitteilta, joihin on päästy ilman valtuutusta.

Kolmanneksi laitetason käyttölokien kerääminen on tärkeää. Jos luvaton henkilö pääsee sisään, oikeuslääketieteelliset polut auttavat tunnistamaan, mitä on viety, ja rajaamaan kiristysvaateen laajuutta.

Lopuksi henkilökunnan koulutuksen on käsiteltävä nimenomaisesti fyysisiä sosiaalisen manipuloinnin tilanteita, ei pelkästään tietojenkalasteluviestejä. Erityisesti asianajotoimistojen työntekijöiden, ja aivan erityisesti vastaanottohenkilökunnan, tulisi tietää, että kohteliaisuus ja kunnioitus oletettua auktoriteettia kohtaan ovat juuri niitä piirteitä, joita hyökkääjät käyttävät hyväkseen.

Mitä tämä tarkoittaa sinulle: Toimenpide-ehdotuksia arkaluonteisilla aloilla työskenteleville ammattilaisille

Jos työskentelet juridiikan, rahoituksen, terveydenhuollon tai millä tahansa muulla alalla, jolla käsitellään suojattuja tai säänneltyjä tietoja, SRG-hälytyksen tulisi käynnistää sekä digitaalisen että fyysisen turvallisuuden tilannekatsaus. Tästä kannattaa aloittaa:

• Tarkasta vierailijoiden pääsyprosessit. Onko organisaatiollasi muodollinen prosessi suunnittelemattomien IT-käyntien varmentamiseksi? Jos vastaus on ei tai epäselvä, tämä aukko on suljettava välittömästi.
• Käy läpi laitteiden lukitus- ja tunnistautumiskäytännöt. Laitteet, jotka lukittuvat automaattisesti käyttämättömyyden jälkeen ja vaativat tunnistautumisen jatkamiseksi, pienentävät merkittävästi fyysisen hyökkääjän toimintaikkunaa.
• Kouluta henkilökunta fyysisen sosiaalisen manipuloinnin varalta. Järjestä tiimin kanssa skenaarioita, joissa joku esiintyy alihankkijana tai IT-urakoitsijana. Harjoitelkaa tapaa varmentaa ennen pääsyn antamista.
• Arvioi tietojesi käyttöoikeusmalli. Sovella vähimpien oikeuksien periaatetta, jotta vaikka työasema vaarannettaisiin, hyökkääjä ei pääse käsiksi laajempiin tietoihin kuin mitä kyseinen käyttäjätili normaalisti käsittelee.
• Tarkasta myös etäkäyttökäytäntösi. Fyysinen turvallisuus ja digitaaliset pääsynhallintamekanismit toimivat yhdessä. Toisen tarkastelu ilman toista jättää aukkoja.

FBI:n Silent Ransom Groupia koskeva hälytys on muistutus siitä, että tehokas turvallisuus edellyttää uhkien ajattelemista kolmiulotteisesti: verkko, laite ja tila. Arkaluonteisilla aloilla työskenteleville ammattilaisille nyt on aika arvioida, pysäyttäisivätkö nykyiset toimintamallinne todella jonkun, joka kävelee ovesta sisään näyttäen siltä kuin hän kuuluisi sinne.