Mi az a Silent Ransom Group, és hogyan támadják az ügyvédi irodákat?

A Silent Ransom Group (SRG) egy fenyegető szereplő, amely fizikailag megszemélyesíti az informatikai személyzetet ügyvédi irodáknál, hogy hozzáférjen irodai eszközökhöz, érzékeny adatokat lopjon, majd zsarolja a szervezeteket.

Miért különösen sebezhetők az ügyvédi irodák ezzel a támadási típussal szemben?

Az ügyvédi irodák hatalmas mennyiségű bizalmas, titkos ügyféladatot tárolnak, és a bizalom kultúrájában működnek, ami hajlamosabbá teszi a személyzetet arra, hogy hozzáférést biztosítson valakinek, aki hivatalos informatikai képviselőnek tűnik.

Miért nem tudják a VPN-ek és a hálózatszegmentálás megakadályozni ezeket a megszemélyesítési támadásokat?

Ezek a védelmek csak a távoli forgalmat és a hálózati határokat kezelik; az a támadó, aki fizikailag bent ül egy bejelentkezett számítógépnél az irodában, teljesen megkerüli őket.

Mit tesznek a támadók az adatok ellopása után?

Zsarolási követeléseket adnak ki, azzal fenyegetve, hogy nyilvánosságra hozzák vagy eladják az ellopott információkat, ha nem fizetnek.

Az FBI figyelmeztet: a Silent Ransom Group fizikailag megszemélyesíti az informatikai személyzetet ügyvédi irodáknál

Q: Hogyan szereznek a támadók fizikai hozzáférést egy ügyvédi iroda számítógépeihez?

Először felkutatják a cég személyzetét és informatikai munkafolyamatait, majd személyesen jelennek meg, informatikai technikusoknak vagy támogatási szerződéses partnereknek kiadva magukat, magabiztosságot és ismerősséget használva, hogy meggyőzzék a személyzetet a hozzáférés engedélyezéséről.

Az FBI figyelmeztet: a Silent Ransom Group fizikailag megszemélyesíti az informatikai személyzetet ügyvédi irodáknál

Az FBI hivatalos figyelmeztetést adott ki, amelyben arra figyelmeztet, hogy a Silent Ransom Group (SRG) nevű fenyegető szereplő ügyvédi irodákat céloz meg social engineering és fizikai megszemélyesítési támadások kombinációjával. A legtöbb kibertámadással ellentétben, amelyek távoli helyszínekről indulnak, az SRG operátorai személyesen jelennek meg, informatikai támogató személyzetnek kiadva magukat, fizikai hozzáférést szerezve irodai eszközökhöz, ellopva érzékeny adatokat, majd zsarolva a szervezeteket. Azon jogi szakemberek számára, akik azt feltételezik, hogy digitális védelmeik elegendőek, ez a figyelmeztetés jelentős ébresztő.

Hogyan szerez fizikai hozzáférést a Silent Ransom Group az ügyvédi irodák hálózataihoz

Az SRG megközelítésének mechanikája egyszerű, de rendkívül hatékony. A támadók felderítést végeznek egy kiszemelt ügyvédi irodánál, azonosítva a személyzetet, az irodai helyszíneket és az informatikai munkafolyamatokat. Ezután fizikailag megjelennek az irodában, informatikai technikusoknak vagy támogatási szerződéses partnereknek kiadva magukat. Magabiztosságot sugározva és a cég környezetének ismeretét színlelve meggyőzik a személyzetet, hogy engedélyezzék a hozzáférést számítógépekhez, szerverekhez vagy más hálózati eszközökhöz.

Ha már bent vannak, a csoport közvetlenül azokról a gépekről nyeri ki az adatokat, amelyekhez fizikailag hozzáfér. Ez magában foglalhat ügyfélfájlokat, ügydokumentációkat, pénzügyi nyilvántartásokat vagy bizalmas kommunikációt. Az adatkiszivárogtatás után az áldozatok zsarolási követeléseket kapnak, azzal a fenyegetéssel, hogy nyilvánosságra hozzák vagy eladják az ellopott információkat, ha nem fizetnek.

Az ügyvédi irodák ebben a modellben különösen vonzó célpontok. Hatalmas mennyiségű érzékeny, bizalmas és gyakran titkos ügyféladatot tárolnak. Történelmileg is olyan intézmények, amelyek a bizalomra és a szakmai kapcsolatokra épülnek, ami hajlamosabbá teszi a személyzetet arra, hogy udvariasságot tanúsítson valakivel szemben, aki hivatalos minőségben tűnik fel.

Miért nem állítanak meg a VPN-ek és a hálózatszegmentálás valakit, aki már a szobában van

A legtöbb kiberbiztonsági beszélgetés a távoli fenyegetésekre összpontosít: adathalász e-mailek, hitelesítő adatok feltöltése, rosszindulatú hivatkozásokon keresztül érkező zsarolóvírusok. Az erre válaszul jellemzően bevetett eszközök – beleértve a VPN-eket, tűzfalakat és a hálózatszegmentálást – arra szolgálnak, hogy szabályozzák, milyen forgalom lép be és ki egy rendszerből az interneten keresztül. Ezek nagyrészt irrelevánsak, amikor egy támadó az épületen belül egy munkaállomásnál ül.

Azok a fizikai megszemélyesítési támadások, amelyekkel az SRG-hez hasonló csoportok célozzák az ügyvédi irodákat, megkerülnek minden hálózatalapú védelmet. Ha valakinek helyet biztosítanak egy bejelentkezett számítógépnél, a többtényezős hitelesítésen már túljutottak. Ha USB-meghajtót csatlakoztatnak, vagy hozzáférnek egy megosztott mappához a helyi hálózaton, a távoli felhasználók közötti titkosított alagutak semmit sem érnek. A hálózatszegmentálás bizonyos mértékig korlátozhatja az oldalirányú mozgást, de nem akadályozza meg a hozzáférést ahhoz, ami az éppen használt eszközről már eleve elérhető.

Ez a lényegi probléma azzal, ha a kiberbiztonságot tisztán technikai tudományágként kezeljük. Az emberi viselkedés és a fizikai környezetek olyan támadási felületeket hoznak létre, amelyeket egyetlen szoftvertermék sem fed le teljesen. Ugyanez az alapelv érvényes a belső fenyegetésekre és a hitelesítő adatokkal való visszaélésekre is, amint azt olyan esetekben láthattuk, amikor a hozzáférés-szabályozást nem kifinomult hackelés, hanem egyszerű emberi hiba vagy gondatlanság játszotta ki – ezt a mintát tárgyalja egy olyan CISA-szerződéses partner esetének beszámolója, aki AWS-kulcsokat és jelszavakat tett közzé egy nyilvános GitHub tárolóban.

Zero-trust és fizikai biztonsági intézkedések, amelyek valóban enyhítik ezt a fenyegetést

A zero-trust architektúrát gyakran a távoli hozzáférés kontextusában tárgyalják, de alapelve közvetlenül itt is érvényes: soha ne feltételezzük, hogy egy személynek vagy eszköznek pusztán azért kell hozzáférést kapnia, mert úgy tűnik, hogy a megfelelő helyen van. Fizikai környezetekre lefordítva ez néhány konkrét gyakorlatot jelent.

Először is, a látogató- és beszállító-ellenőrzési folyamatokat formalizálni kell és következetesen be kell tartatni. Minden olyan személyt, aki azt állítja, hogy informatikai támogatás, független csatornán kell ellenőrizni, mielőtt felügyelet nélküli hozzáférést kapna bármely eszközhöz. Ez azt jelenti, hogy közvetlenül az informatikai osztályt kell hívni, nem a látogató által megadott számot, és meg kell erősíteni, hogy a látogatás be volt-e ütemezve.

Másodszor, a munkaállomásoknak és eszközöknek inaktivitás után újra hitelesítést kell kérniük, és ideális esetben nem maradhatnak bejelentkezve érzékeny rendszerekbe, ha felügyelet nélkül hagyják őket. A fizikai portzárak vagy USB-blokkolók megakadályozhatják az engedély nélkül hozzáfért eszközökről történő illetéktelen adatátvitelt.

Harmadszor, az eszközszintű hozzáférés-naplózás számít. Ha egy illetéktelen személy hozzáférést szerez, a törvényszéki nyomok segítenek azonosítani, hogy mit vittek el, és korlátozzák a későbbi zsarolási követelés hatókörét.

Végül, a személyzet képzésének kifejezetten foglalkoznia kell a fizikai social engineering forgatókönyveivel, nem csak az adathalász e-mailekkel. Az ügyvédi irodák alkalmazottainak, különösen a recepciósoknak tudniuk kell, hogy az udvariasság és a látszólagos tekintély előtti meghajlás pontosan azok a tulajdonságok, amelyeket a támadók kihasználnak.

Mit jelent ez Önnek: Megvalósítható lépések érzékeny iparágak szakemberei számára

Ha Ön a jogi, pénzügyi, egészségügyi vagy bármely más olyan területen dolgozik, amely bizalmas vagy szabályozott információkat kezel, az SRG figyelmeztetésnek a digitális és a fizikai biztonsági helyzet felülvizsgálatára kell késztetnie. Itt kezdje:

Vizsgálja felül a látogatói hozzáférési protokollokat. Van a szervezetének hivatalos folyamata a nem ütemezett informatikai látogatások ellenőrzésére? Ha a válasz nem vagy bizonytalan, ezt a hiányosságot azonnal meg kell szüntetni.
Ellenőrizze az eszközzárolási és hitelesítési irányelveket. Azok az eszközök, amelyek inaktivitás után automatikusan zárolnak, és a folytatáshoz hitelesítő adatokat kérnek, jelentősen csökkentik egy fizikai támadó lehetőségeinek ablakát.
Képezze a személyzetet a fizikai social engineering terén. Futtasson forgatókönyveket a csapatával, ahol valaki beszállítónak vagy informatikai szerződéses partnernek adja ki magát. Gyakorolják az ellenőrzés szokását a hozzáférés engedélyezése előtt.
Értékelje az adathozzáférési modellt. Alkalmazza a legkisebb jogosultság elvét, hogy még ha egy munkaállomás kompromittálódik is, a támadó ne férhessen hozzá azon túli adatokhoz, amelyeket az adott felhasználói fiók normál esetben kezel.
Ellenőrizze a távoli hozzáférési irányelveket is. A fizikai biztonság és a digitális hozzáférés-szabályozás együtt működik. Az egyik felülvizsgálata a másik nélkül rést hagy.

Az FBI Silent Ransom Groupról szóló figyelmeztetése emlékeztet arra, hogy a hatékony biztonsághoz három dimenzióban kell gondolkodni a fenyegetésekről: a hálózatról, az eszközről és a helyiségről. Az érzékeny iparágak szakemberei számára itt az ideje felmérni, hogy a jelenlegi protokolljaik valóban megállítanák-e azt, aki bejön a főbejáraton, és úgy néz ki, mintha odatartozna.

Az FBI figyelmeztet: a Silent Ransom Group fizikailag megszemélyesíti az informatikai személyzetet ügyvédi irodáknál

Hogyan szerez fizikai hozzáférést a Silent Ransom Group az ügyvédi irodák hálózataihoz

Miért nem állítanak meg a VPN-ek és a hálózatszegmentálás valakit, aki már a szobában van

Zero-trust és fizikai biztonsági intézkedések, amelyek valóban enyhítik ezt a fenyegetést

Mit jelent ez Önnek: Megvalósítható lépések érzékeny iparágak szakemberei számára

// GYIK

// Kapcsolódó