What is the Silent Ransom Group and how are they attacking law firms?

The Silent Ransom Group (SRG) is a threat actor that physically impersonates IT staff at law firms to gain access to office devices, steal sensitive data, and then extort the organizations.

How do attackers gain physical access to a law firm’s computers?

They first research the firm’s personnel and IT workflows, then show up in person posing as IT technicians or support contractors, using confidence and familiarity to convince staff to grant them access.

Why are law firms particularly vulnerable to this type of attack?

Law firms hold vast amounts of privileged, confidential client data and operate in a culture of trust, which makes staff more inclined to extend access to someone who appears to be an official IT representative.

Why can’t VPNs and network segmentation prevent these impersonation attacks?

These defenses only manage remote traffic and network boundaries; an attacker who is physically sitting at a logged-in computer inside the office bypasses them entirely.

What do the attackers do after stealing the data?

They issue extortion demands, threatening to publish or sell the stolen information if payment is not made.

FBI upozorava da se Silent Ransom Group fizički lažno predstavlja kao IT osoblje u odvjetničkim tvrtkama

FBI je izdao službeno upozorenje da akter prijetnje poznat kao Silent Ransom Group (SRG) cilja odvjetničke tvrtke kombinacijom socijalnog inženjeringa i fizičkog lažnog predstavljanja. Za razliku od većine cyber napada koji dolaze s udaljenih lokacija, SRG operativci dolaze osobno, predstavljajući se kao IT podrška, stječu fizički pristup uredskim uređajima, kradu osjetljive podatke i potom iznuđuju novac od organizacija. Za pravne stručnjake koji pretpostavljaju da su njihove digitalne obrane dovoljne, ovo upozorenje predstavlja značajan poziv na buđenje.

Kako Silent Ransom Group stječe fizički pristup mrežama odvjetničkih tvrtki

Metoda koju SRG primjenjuje je jednostavna, ali iznimno učinkovita. Napadači izviđaju ciljanu odvjetničku tvrtku, identificirajući osoblje, urede i IT procese. Zatim se fizički pojave u uredu, lažno predstavljajući se kao IT tehničari ili ugovorni pružatelji podrške. Projektirajući samopouzdanje i poznavanje okruženja tvrtke, uvjeravaju osoblje da im odobri pristup računalima, poslužiteljima ili drugim umreženim uređajima.

Kad su unutra, grupa izvlači podatke izravno s uređaja do kojih mogu fizički doći. To može uključivati datoteke klijenata, dokumentaciju predmeta, financijske evidencije ili povlaštenu komunikaciju. Nakon eksfiltracije, žrtve primaju zahtjeve za iznudu uz prijetnju da će ukradene informacije biti objavljene ili prodane ako ne plate.

Odvjetničke tvrtke su u ovom modelu posebno atraktivna meta. Posjeduju goleme količine osjetljivih, povlaštenih i često povjerljivih podataka klijenata. Također su, povijesno gledano, institucije izgrađene na povjerenju i profesionalnim odnosima, što osoblje čini sklonijim ukazati uslužnost nekome tko izgleda kao da je tamo u službenom svojstvu.

Zašto VPN i mrežna segmentacija ne zaustavljaju nekoga tko je već u prostoriji

Većina razgovora o kibernetičkoj sigurnosti usmjerena je na udaljene prijetnje: phishing e-poruke, popunjavanje vjerodajnicama, ransomware isporučen zlonamjernim poveznicama. Alati koji se obično koriste kao odgovor, uključujući VPN-ove, vatrozide i mrežnu segmentaciju, dizajnirani su za upravljanje prometom koji ulazi i izlazi iz sustava putem interneta. Oni su uglavnom irelevantni kada napadač sjedi za radnom stanicom unutar zgrade.

Fizički napadi lažnim predstavljanjem s kojima se suočavaju odvjetničke tvrtke od strane grupa poput SRG-a zaobilaze svaki sloj mrežne obrane. Ako netko dobije mjesto za prijavljenim računalom, višefaktorska autentifikacija je već prošla. Ako uključe USB pogon ili pristupe dijeljenoj mapi preko lokalne mreže, šifrirani tuneli između udaljenih korisnika ne znače ništa. Mrežna segmentacija može u određenoj mjeri ograničiti lateralno kretanje, ali ne sprječava pristup onome što je već dostupno s uređaja koji se koristi.

To je srž problema tretiranja kibernetičke sigurnosti kao isključivo tehničke discipline. Ljudsko ponašanje i fizička okolina stvaraju površine napada koje nijedan softverski proizvod u potpunosti ne rješava. Isti princip vrijedi i za unutarnje prijetnje i zlouporabu vjerodajnica, kao što se vidi u slučajevima gdje se kontrole pristupa zaobilaze ne sofisticiranim hakiranjem već jednostavnom ljudskom pogreškom ili nemarom, uzorak istražen u članku o CISA izvođaču koji je izložio AWS ključeve i lozinke na javnom GitHub repozitoriju.

Arhitektura nultog povjerenja i fizičke sigurnosne kontrole koje stvarno ublažavaju ovu prijetnju

Arhitektura nultog povjerenja često se raspravlja u kontekstu udaljenog pristupa, ali njen osnovni princip izravno se primjenjuje ovdje: nikad ne pretpostaviti da bi osoba ili uređaj trebali imati pristup samo zato što se čini da su na pravom mjestu. Za fizička okruženja to se prevodi u nekoliko konkretnih praksi.

Prvo, procesi provjere posjetitelja i dobavljača moraju biti formalizirani i dosljedno provođeni. Svaku osobu koja tvrdi da je IT podrška treba provjeriti putem neovisnog kanala prije nego što joj se odobri nenadzirani pristup bilo kojem uređaju. To znači izravno nazvati IT odjel, ne koristeći broj koji je posjetitelj dao, i potvrditi da je posjet zakazan.

Drugo, radne stanice i uređaji trebali bi zahtijevati ponovnu autentifikaciju nakon bilo kakvog razdoblja neaktivnosti, a idealno ne bi trebali ostati prijavljeni u osjetljive sustave kada su bez nadzora. Fizičke brave za portove ili USB blokatori mogu spriječiti neovlašteni prijenos podataka s uređaja kojima se pristupilo bez odobrenja.

Treće, bilježenje pristupa na razini uređaja je važno. Ako neovlaštena osoba ipak dobije pristup, forenzički tragovi pomažu identificirati što je ukradeno i ograničiti opseg naknadnog zahtjeva za iznudu.

Konačno, obuka osoblja treba eksplicitno obrađivati scenarije fizičkog socijalnog inženjeringa, a ne samo phishing e-poruke. Zaposlenici u odvjetničkim tvrtkama, posebno osoblje na recepciji, trebali bi znati da su ljubaznost i poštovanje prema prividnom autoritetu upravo osobine koje napadači iskorištavaju.

Što ovo znači za vas: Provedivi koraci za profesionalce u osjetljivim industrijama

Ako radite u pravu, financijama, zdravstvu ili bilo kojoj drugoj djelatnosti koja obrađuje povlaštene ili regulirane informacije, upozorenje o SRG-u trebalo bi potaknuti reviziju vašeg i digitalnog i fizičkog sigurnosnog stanja. Evo odakle početi:

Revizija protokola za pristup posjetitelja. Ima li vaša organizacija formalni proces za provjeru nenajavljenih IT posjeta? Ako je odgovor ne ili nejasno, taj jaz treba odmah zatvoriti.
Pregled pravila o zaključavanju uređaja i autentifikaciji. Uređaji koji se automatski zaključavaju nakon neaktivnosti i zahtijevaju vjerodajnice za nastavak značajno smanjuju prozor mogućnosti za fizičkog napadača.
Obučite osoblje o fizičkom socijalnom inženjeringu. Provedite scenarije sa svojim timom u kojima se netko lažno predstavlja kao dobavljač ili IT izvođač. Uvježbajte naviku provjere prije davanja pristupa.
Procijenite svoj model pristupa podacima. Primijenite načelo najmanje povlastice tako da čak i ako je radna stanica kompromitirana, napadač ne može doći do podataka izvan onoga što taj određeni korisnički račun inače obrađuje.
Provjerite i svoja pravila o udaljenom pristupu. Fizička sigurnost i kontrole digitalnog pristupa djeluju zajedno. Pregled jednog bez drugog ostavlja praznine.

FBI-jevo upozorenje o Silent Ransom Group podsjetnik je da učinkovita sigurnost zahtijeva razmišljanje o prijetnjama u tri dimenzije: mreži, uređaju i prostoriji. Za profesionalce u osjetljivim industrijama, sada je vrijeme da procijene bi li vaši trenutni protokoli zaista zaustavili nekoga tko uđe kroz glavna vrata izgledajući kao da tamo pripada.