Cos'è il Silent Ransom Group e come sta attaccando gli studi legali?

Il Silent Ransom Group (SRG) è un attore di minacce che si finge fisicamente personale IT presso gli studi legali per ottenere accesso ai dispositivi d'ufficio, rubare dati sensibili e poi estorcere denaro alle organizzazioni.

Come fanno gli aggressori a ottenere accesso fisico ai computer di uno studio legale?

Prima fanno ricerche sul personale e sui flussi di lavoro IT dello studio, poi si presentano di persona fingendosi tecnici IT o appaltatori di supporto, usando sicurezza e familiarità per convincere il personale a concedere loro l'accesso.

Perché gli studi legali sono particolarmente vulnerabili a questo tipo di attacco?

Gli studi legali detengono enormi quantità di dati privilegiati e riservati dei clienti e operano in una cultura della fiducia, che rende il personale più incline a concedere l'accesso a qualcuno che sembra essere un rappresentante IT ufficiale.

Perché VPN e segmentazione di rete non possono prevenire questi attacchi di impersonificazione?

Queste difese gestiscono solo il traffico remoto e i confini di rete; un aggressore che è fisicamente seduto a un computer già autenticato all'interno dell'ufficio le aggira completamente.

Cosa fanno gli aggressori dopo aver rubato i dati?

Emettono richieste di estorsione, minacciando di pubblicare o vendere le informazioni rubate se il pagamento non viene effettuato.

L'FBI avverte che il Silent Ransom Group si finge fisicamente personale IT presso gli studi legali

L'FBI ha emesso un allarme formale avvertendo che un attore di minacce noto come Silent Ransom Group (SRG) sta prendendo di mira gli studi legali attraverso una combinazione di ingegneria sociale e attacchi di impersonificazione fisica. A differenza della maggior parte degli attacchi informatici che partono da postazioni remote, gli operatori di SRG si presentano di persona, fingendosi personale di supporto IT, ottenendo accesso fisico ai dispositivi dell'ufficio, rubando dati sensibili e poi estorcendo denaro alle organizzazioni. Per i professionisti legali che ritengono sufficienti le proprie difese digitali, questo avviso rappresenta un importante campanello d'allarme.

Come il Silent Ransom Group ottiene l'accesso fisico alle reti degli studi legali

La meccanica dell'approccio di SRG è semplice ma altamente efficace. Gli aggressori conducono una ricognizione sullo studio legale preso di mira, identificando il personale, le sedi fisiche e i flussi di lavoro IT. Quindi si presentano fisicamente in ufficio, fingendosi tecnici IT o appaltatori di supporto. Mostrando sicurezza e familiarità con l'ambiente dello studio, convincono il personale a concedere loro accesso a computer, server o altri dispositivi collegati in rete.

Una volta dentro, il gruppo estrae i dati direttamente dalle macchine che riesce a toccare fisicamente. Possono essere fascicoli dei clienti, documentazione legale, registrazioni finanziarie o comunicazioni privilegiate. Dopo l'esfiltrazione, le vittime ricevono richieste di estorsione, con la minaccia di pubblicare o vendere le informazioni rubate se il pagamento non viene effettuato.

In questo schema, gli studi legali sono un bersaglio particolarmente allettante. Detengono enormi quantità di dati sensibili, privilegiati e spesso riservati dei clienti. Sono anche, storicamente, istituzioni fondate sulla fiducia e sulle relazioni professionali, il che rende il personale più incline a offrire cortesia a qualcuno che sembra essere lì in veste ufficiale.

Perché VPN e segmentazione di rete non fermano chi è già nella stanza

La maggior parte delle discussioni sulla cybersecurity si concentra sulle minacce remote: email di phishing, credential stuffing, ransomware distribuiti tramite link malevoli. Gli strumenti tipicamente utilizzati in risposta, inclusi VPN, firewall e segmentazione di rete, sono progettati per controllare quale traffico entra ed esce da un sistema attraverso Internet. Sono in gran parte irrilevanti quando un aggressore è seduto a una postazione di lavoro all'interno dell'edificio.

Gli attacchi di impersonificazione fisica che i gruppi come SRG portano contro gli studi legali aggirano ogni livello di difesa basata sulla rete. Se a qualcuno viene concesso di sedersi a un computer già autenticato, l'autenticazione a più fattori è già stata superata. Se inserisce una chiavetta USB o accede a una cartella condivisa sulla rete locale, i tunnel crittografati tra utenti remoti non contano nulla. La segmentazione di rete può limitare in una certa misura il movimento laterale, ma non impedisce l'accesso a ciò che è già accessibile dal dispositivo in uso.

Questo è il problema centrale di considerare la cybersecurity come una disciplina puramente tecnica. Il comportamento umano e gli ambienti fisici creano superfici d'attacco che nessun prodotto software affronta completamente. Lo stesso principio si applica alle minacce interne e all'uso improprio delle credenziali, come si è visto nei casi in cui i controlli di accesso vengono aggirati non da hacking sofisticato ma da semplice errore umano o negligenza, una dinamica esplorata nella copertura di un appaltatore CISA che ha esposto chiavi AWS e password in un repository GitHub pubblico.

Zero-Trust e controlli di sicurezza fisica che mitigano effettivamente questa minaccia

L'architettura zero-trust viene spesso discussa nel contesto dell'accesso remoto, ma il suo principio fondamentale si applica direttamente qui: non bisogna mai presumere che una persona o un dispositivo debbano avere accesso solo perché sembrano trovarsi nel posto giusto. Per gli ambienti fisici, questo si traduce in alcune pratiche concrete.

In primo luogo, i processi di verifica dei visitatori e dei fornitori devono essere formalizzati e applicati con coerenza. Qualsiasi persona che affermi di essere del supporto IT dovrebbe essere verificata attraverso un canale indipendente prima di ricevere un accesso non supervisionato a qualsiasi dispositivo. Questo significa chiamare direttamente il reparto IT, non utilizzando un numero fornito dal visitatore, e confermare che la visita era programmata.

In secondo luogo, le postazioni di lavoro e i dispositivi dovrebbero richiedere una riautenticazione dopo qualsiasi periodo di inattività e, idealmente, non dovrebbero rimanere connessi a sistemi sensibili quando incustoditi. Blocchi fisici per le porte o bloccanti USB possono impedire trasferimenti di dati non autorizzati da dispositivi a cui si accede senza autorizzazione.

In terzo luogo, la registrazione degli accessi a livello di dispositivo è importante. Se una persona non autorizzata ottiene accesso, le tracce forensi aiutano a identificare cosa è stato prelevato e a limitare la portata di una successiva richiesta di estorsione.

Infine, la formazione del personale deve affrontare esplicitamente gli scenari di ingegneria sociale fisica, non solo le email di phishing. I dipendenti degli studi legali, e in particolare il personale di reception, dovrebbero sapere che la cortesia e la deferenza verso un'autorità apparente sono proprio i tratti che gli aggressori sfruttano.

Cosa significa per te: passi concreti per i professionisti in settori sensibili

Se lavori in ambito legale, finanziario, sanitario o in qualsiasi altro campo che gestisce informazioni privilegiate o regolamentate, l'allarme su SRG dovrebbe spingerti a rivedere il tuo livello di sicurezza sia digitale che fisica. Ecco da dove iniziare:

Verifica i protocolli di accesso dei visitatori. La tua organizzazione ha un processo formale per verificare le visite IT non programmate? Se la risposta è no o non è chiara, questa lacuna va colmata immediatamente.
Rivedi le politiche di blocco dei dispositivi e di autenticazione. I dispositivi che si bloccano automaticamente dopo inattività e richiedono credenziali per riprendere riducono significativamente la finestra di opportunità per un aggressore fisico.
Forma il personale sull'ingegneria sociale fisica. Esegui scenari con il team in cui qualcuno si finge un fornitore o un tecnico IT. Esercita l'abitudine alla verifica prima di concedere l'accesso.
Valuta il tuo modello di accesso ai dati. Applica i principi del minimo privilegio in modo che, anche se una postazione di lavoro viene compromessa, l'aggressore non possa raggiungere dati oltre ciò che l'account utente specifico normalmente gestisce.
Controlla anche le politiche di accesso remoto. La sicurezza fisica e i controlli di accesso digitale lavorano insieme. Rivedere l'uno senza l'altro lascia delle lacune.

L'allarme dell'FBI sul Silent Ransom Group ricorda che una sicurezza efficace richiede di pensare alle minacce in tre dimensioni: la rete, il dispositivo e la stanza. Per i professionisti in settori sensibili, questo è il momento di verificare se i vostri attuali protocolli fermerebbero davvero qualcuno che entra dalla porta principale con l'aria di chi ha il diritto di essere lì.