What is the Silent Ransom Group and how are they attacking law firms?

The Silent Ransom Group (SRG) is a threat actor that physically impersonates IT staff at law firms to gain access to office devices, steal sensitive data, and then extort the organizations.

How do attackers gain physical access to a law firm’s computers?

They first research the firm’s personnel and IT workflows, then show up in person posing as IT technicians or support contractors, using confidence and familiarity to convince staff to grant them access.

Why are law firms particularly vulnerable to this type of attack?

Law firms hold vast amounts of privileged, confidential client data and operate in a culture of trust, which makes staff more inclined to extend access to someone who appears to be an official IT representative.

Why can’t VPNs and network segmentation prevent these impersonation attacks?

These defenses only manage remote traffic and network boundaries; an attacker who is physically sitting at a logged-in computer inside the office bypasses them entirely.

What do the attackers do after stealing the data?

They issue extortion demands, threatening to publish or sell the stolen information if payment is not made.

Le FBI avertit que le Silent Ransom Group se fait passer physiquement pour du personnel informatique dans des cabinets d’avocats

Le FBI a émis une alerte officielle avertissant qu’un acteur malveillant connu sous le nom de Silent Ransom Group (SRG) cible les cabinets d’avocats en combinant ingénierie sociale et usurpation d’identité physique. Contrairement à la plupart des cyberattaques qui proviennent de sites distants, les agents du SRG se présentent en personne, se faisant passer pour du personnel de support informatique, obtiennent un accès physique aux appareils de bureau, volent des données sensibles, puis extorquent les organisations. Pour les professionnels du droit qui pensent que leurs défenses numériques sont suffisantes, cette alerte constitue un sérieux rappel à l’ordre.

Comment le Silent Ransom Group obtient un accès physique aux réseaux des cabinets d’avocats

Le mode opératoire du SRG est simple mais très efficace. Les attaquants effectuent une reconnaissance sur le cabinet d’avocats ciblé, identifiant le personnel, les locaux et les flux de travail informatiques. Ils se présentent ensuite physiquement au bureau, se faisant passer pour des techniciens informatiques ou des prestataires de support. En affichant une confiance et une familiarité avec l’environnement du cabinet, ils convainquent le personnel de leur donner accès aux ordinateurs, serveurs ou autres appareils en réseau.

Une fois à l’intérieur, le groupe extrait des données directement des machines auxquelles il peut toucher physiquement. Cela peut inclure des dossiers clients, des documents de procédure, des données financières ou des communications privilégiées. Après l’exfiltration, les victimes reçoivent des demandes d’extorsion, avec la menace de publier ou de vendre les informations volées si le paiement n’est pas effectué.

Les cabinets d’avocats sont une cible particulièrement attrayante dans ce modèle. Ils détiennent d’énormes volumes de données sensibles, privilégiées et souvent confidentielles de leurs clients. Ce sont aussi, historiquement, des institutions fondées sur la confiance et les relations professionnelles, ce qui rend le personnel plus enclin à témoigner de la courtoisie à quelqu’un qui semble être là à titre officiel.

Pourquoi les VPN et la segmentation réseau n’arrêtent pas quelqu’un qui est déjà dans la pièce

La plupart des conversations sur la cybersécurité se concentrent sur les menaces à distance : courriels de hameçonnage, bourrage d’identifiants, rançongiciels livrés via des liens malveillants. Les outils généralement déployés en réponse, notamment les VPN, les pare-feu et la segmentation réseau, sont conçus pour contrôler le trafic qui entre et sort d’un système via Internet. Ils sont largement inutiles lorsque l’attaquant est assis à un poste de travail à l’intérieur du bâtiment.

Les attaques par usurpation d’identité physique auxquelles font face les cabinets d’avocats avec des groupes comme le SRG contournent toutes les couches de défense basées sur le réseau. Si quelqu’un est placé devant un ordinateur déjà connecté, l’authentification multifacteur a déjà été franchie. S’il branche une clé USB ou accède à un dossier partagé sur le réseau local, les tunnels chiffrés entre utilisateurs distants ne servent à rien. La segmentation réseau peut limiter dans une certaine mesure les déplacements latéraux, mais elle n’empêche pas l’accès à ce qui est déjà accessible depuis l’appareil utilisé.

C’est là le problème central lorsqu’on traite la cybersécurité comme une discipline purement technique. Le comportement humain et les environnements physiques créent des surfaces d’attaque qu’aucun logiciel ne couvre entièrement. Le même principe s’applique aux menaces internes et aux utilisations abusives d’identifiants, comme on l’a vu dans des cas où les contrôles d’accès sont contournés non pas par un piratage sophistiqué mais par une simple erreur humaine ou négligence, un schéma exploré dans la couverture d’un sous-traitant de la CISA qui a exposé des clés AWS et des mots de passe sur un dépôt GitHub public.

Une architecture zéro confiance et des contrôles de sécurité physique qui atténuent réellement cette menace

L’architecture zéro confiance est souvent abordée dans le contexte de l’accès à distance, mais son principe fondamental s’applique directement ici : ne jamais présumer qu’une personne ou un appareil devrait avoir accès simplement parce qu’elle semble être au bon endroit. Pour les environnements physiques, cela se traduit par quelques pratiques concrètes.

Premièrement, les processus de vérification des visiteurs et des prestataires doivent être formalisés et appliqués de manière cohérente. Toute personne prétendant être un support informatique doit être vérifiée par un canal indépendant avant de recevoir un accès non supervisé à un appareil. Cela signifie appeler directement le service informatique, en utilisant non pas un numéro fourni par le visiteur, mais en confirmant que la visite était planifiée.

Deuxièmement, les postes de travail et les appareils doivent exiger une réauthentification après toute période d’inactivité, et idéalement ne pas rester connectés à des systèmes sensibles lorsqu’ils sont laissés sans surveillance. Des verrous de port physique ou des bloqueurs USB peuvent empêcher les transferts non autorisés de données à partir d’appareils consultés sans autorisation.

Troisièmement, la journalisation des accès au niveau des terminaux est importante. Si une personne non autorisée parvient à accéder, les traces forensiques aident à identifier ce qui a été pris et à limiter la portée d’une demande d’extorsion ultérieure.

Enfin, la formation du personnel doit cibler explicitement les scénarios d’ingénierie sociale physique, et pas seulement les courriels de hameçonnage. Les employés des cabinets d’avocats, en particulier le personnel d’accueil, doivent savoir que la politesse et la déférence envers l’autorité apparente sont exactement les traits que les attaquants exploitent.

Ce que cela signifie pour vous : mesures concrètes pour les professionnels des secteurs sensibles

Si vous travaillez dans le droit, la finance, la santé ou tout autre domaine qui traite des informations privilégiées ou réglementées, l’alerte du SRG devrait vous inciter à revoir votre posture de sécurité à la fois numérique et physique. Voici par où commencer :

Auditer les protocoles d’accès des visiteurs. Votre organisation dispose-t-elle d’un processus formel pour vérifier les visites informatiques non planifiées ? Si la réponse est non ou peu claire, cette lacune doit être comblée immédiatement.
Revoir les politiques de verrouillage des appareils et d’authentification. Les appareils qui se verrouillent automatiquement après une inactivité et exigent des identifiants pour reprendre réduisent considérablement la fenêtre d’opportunité pour un attaquant physique.
Former le personnel à l’ingénierie sociale physique. Organisez des scénarios avec votre équipe où quelqu’un se fait passer pour un fournisseur ou un prestataire informatique. Pratiquez l’habitude de vérifier avant d’accorder l’accès.
Évaluer votre modèle d’accès aux données. Appliquez les principes de moindre privilège de sorte que, même si un poste de travail est compromis, l’attaquant ne puisse pas atteindre des données au-delà de ce que ce compte spécifique manipule normalement.
Vérifier aussi vos politiques d’accès à distance. La sécurité physique et les contrôles d’accès numériques fonctionnent ensemble. Ne vérifier que l’un sans l’autre laisse des lacunes.

L’alerte du FBI sur le Silent Ransom Group rappelle qu’une sécurité efficace exige de penser aux menaces en trois dimensions : le réseau, l’appareil et la pièce. Pour les professionnels des secteurs sensibles, le moment est venu de vérifier si vos protocoles actuels arrêteraient réellement quelqu’un qui franchit la porte d’entrée avec l’air d’être à sa place.