What is the Silent Ransom Group and how are they attacking law firms?

The Silent Ransom Group (SRG) is a threat actor that physically impersonates IT staff at law firms to gain access to office devices, steal sensitive data, and then extort the organizations.

How do attackers gain physical access to a law firm’s computers?

They first research the firm’s personnel and IT workflows, then show up in person posing as IT technicians or support contractors, using confidence and familiarity to convince staff to grant them access.

Why are law firms particularly vulnerable to this type of attack?

Law firms hold vast amounts of privileged, confidential client data and operate in a culture of trust, which makes staff more inclined to extend access to someone who appears to be an official IT representative.

Why can’t VPNs and network segmentation prevent these impersonation attacks?

These defenses only manage remote traffic and network boundaries; an attacker who is physically sitting at a logged-in computer inside the office bypasses them entirely.

What do the attackers do after stealing the data?

They issue extortion demands, threatening to publish or sell the stolen information if payment is not made.

FBI waarschuwt: Silent Ransom Group doet zich fysiek voor als IT-personeel bij advocatenkantoren

De FBI heeft een officiële waarschuwing uitgegeven dat een dreigingsactor genaamd de Silent Ransom Group (SRG) advocatenkantoren aanvalt via een combinatie van social engineering en fysieke imitatie-aanvallen. In tegenstelling tot de meeste cyberaanvallen die van afstand plaatsvinden, verschijnen SRG-medewerkers persoonlijk, doen zich voor als IT-ondersteuningspersoneel, krijgen fysieke toegang tot kantoorapparatuur, stelen gevoelige gegevens en persen vervolgens de organisaties af. Voor juridische professionals die denken dat hun digitale verdediging voldoende is, is deze waarschuwing een flinke wake-upcall.

Hoe de Silent Ransom Group fysieke toegang krijgt tot netwerken van advocatenkantoren

De werkwijze van SRG is eenvoudig maar zeer effectief. Aanvallers voeren verkenning uit op een doelwit-advocatenkantoor, waarbij ze personeel, kantoorlocaties en IT-werkstromen identificeren. Vervolgens melden ze zich fysiek op kantoor, waarbij ze zich voordoen als IT-technici of ondersteunende contractanten. Door zelfvertrouwen uit te stralen en vertrouwdheid met de omgeving van het kantoor te veinzen, overtuigen ze medewerkers om toegang te verlenen tot computers, servers of andere netwerkapparaten.

Eenmaal binnen haalt de groep gegevens rechtstreeks van de machines waartoe ze fysiek toegang hebben. Dit kunnen klantdossiers, zaakdocumentatie, financiële administratie of vertrouwelijke communicatie zijn. Na de exfiltratie ontvangen de slachtoffers afpersingsbedragen, met de dreiging de gestolen informatie openbaar te maken of te verkopen als er niet wordt betaald.

Advocatenkantoren zijn een bijzonder aantrekkelijk doelwit in dit model. Ze bezitten enorme hoeveelheden gevoelige, vertrouwelijke en vaak geprivilegieerde cliëntgegevens. Het zijn bovendien van oudsher instellingen die gebouwd zijn op vertrouwen en professionele relaties, waardoor personeel eerder geneigd is beleefdheid te betonen aan iemand die in een officiële hoedanigheid lijkt te verschijnen.

Waarom VPN's en netwerksegmentatie iemand die al in de kamer zit niet tegenhouden

De meeste gesprekken over cyberbeveiliging draaien om dreigingen op afstand: phishing-e-mails, credential stuffing, ransomware via kwaadaardige links. De hulpmiddelen die doorgaans worden ingezet als reactie, waaronder VPN's, firewalls en netwerksegmentatie, zijn ontworpen om te bepalen welk verkeer het systeem via internet binnenkomt en verlaat. Ze zijn grotendeels irrelevant wanneer een aanvaller achter een werkstation in het gebouw zit.

Fysieke imitatie-aanvallen waarmee advocatenkantoren te maken krijgen van groepen als SRG omzeilen elke laag van netwerkgebaseerde verdediging. Als iemand een zitplaats krijgt bij een ingelogde computer, is multi-factorauthenticatie al gepasseerd. Als ze een USB-stick aansluiten of via het lokale netwerk toegang krijgen tot een gedeelde map, betekenen versleutelde tunnels tussen externe gebruikers niets. Netwerksegmentatie kan laterale beweging tot op zekere hoogte beperken, maar voorkomt geen toegang tot wat al toegankelijk is vanaf het gebruikte apparaat.

Dit is het kernprobleem van het behandelen van cyberbeveiliging als een puur technische discipline. Menselijk gedrag en fysieke omgevingen creëren aanvalsoppervlakken die geen enkel softwareproduct volledig afdekt. Hetzelfde principe is van toepassing op insider-bedreigingen en misbruik van inloggegevens, zoals te zien in gevallen waarin toegangscontroles niet worden omzeild door geavanceerd hacken, maar door eenvoudige menselijke fouten of nalatigheid, een patroon dat wordt onderzocht in de berichtgeving over een CISA-contractant die AWS-sleutels en wachtwoorden op een openbare GitHub-repository heeft gelekt.

Zero-trust en fysieke beveiligingsmaatregelen die deze dreiging daadwerkelijk beperken

Zero-trust-architectuur wordt vaak besproken in de context van externe toegang, maar het kernprincipe is hier direct van toepassing: ga er nooit vanuit dat een persoon of apparaat toegang zou moeten hebben simpelweg omdat ze op de juiste plek lijken te zijn. Voor fysieke omgevingen vertaalt zich dit in een paar concrete praktijken.

Ten eerste moeten processen voor de verificatie van bezoekers en leveranciers worden geformaliseerd en consequent worden nageleefd. Iedereen die beweert IT-ondersteuning te zijn, moet via een onafhankelijk kanaal worden geverifieerd voordat hij zonder toezicht toegang krijgt tot enig apparaat. Dat betekent rechtstreeks de IT-afdeling bellen, niet met een nummer dat door de bezoeker wordt verstrekt, en bevestigen dat het bezoek was ingepland.

Ten tweede moeten werkstations en apparaten opnieuw authenticatie vereisen na elke periode van inactiviteit, en idealiter niet ingelogd blijven op gevoelige systemen wanneer ze onbeheerd zijn. Fysieke poortsloten of USB-blockers kunnen ongeautoriseerde gegevensoverdracht van apparaten die zonder toestemming worden benaderd, voorkomen.

Ten derde is logging van toegang op apparaatniveau van belang. Als een onbevoegd persoon wel toegang krijgt, helpen forensische sporen om te identificeren wat er is meegenomen en om de reikwijdte van een latere afpersingsclaim te beperken.

Ten slotte moet de training van personeel zich nadrukkelijk richten op fysieke social engineering-scenario's, niet alleen op phishing-e-mails. Medewerkers van advocatenkantoren, met name receptionisten, moeten weten dat beleefdheid en eerbied voor schijnbare autoriteit precies de eigenschappen zijn die aanvallers uitbuiten.

Wat dit voor u betekent: actiegerichte stappen voor professionals in gevoelige sectoren

Als u werkzaam bent in de advocatuur, financiële dienstverlening, gezondheidszorg of een ander vakgebied dat omgaat met vertrouwelijke of gereguleerde informatie, zou de SRG-waarschuwing aanleiding moeten zijn om zowel uw digitale als fysieke beveiligingshouding te herzien. Dit is waar u moet beginnen:

Controleer de protocollen voor bezoekerstoegang. Heeft uw organisatie een formeel proces voor het verifiëren van ongeplande IT-bezoeken? Als het antwoord nee of onduidelijk is, moet die lacune onmiddellijk worden gedicht.
Beoordeel het beleid voor apparaatvergrendeling en authenticatie. Apparaten die automatisch vergrendelen na inactiviteit en verificatie vereisen om te hervatten, verminderen het tijdsvenster voor een fysieke aanvaller aanzienlijk.
Train personeel in fysieke social engineering. Voer scenario's uit met uw team waarbij iemand zich voordoet als leverancier of IT-contractant. Oefen de gewoonte van verificatie vóór toegang.
Evalueer uw model voor gegevenstoegang. Pas het principe van minimale rechten toe, zodat een aanvaller zelfs als een werkstation is gecompromitteerd, geen toegang kan krijgen tot gegevens die verder gaan dan wat dat specifieke gebruikersaccount normaal gesproken verwerkt.
Controleer ook uw beleid voor externe toegang. Fysieke beveiliging en digitale toegangscontroles werken samen. Als u de ene herziet zonder de andere, blijven er gaten bestaan.

De FBI-waarschuwing over de Silent Ransom Group herinnert ons eraan dat effectieve beveiliging vereist dat we in drie dimensies denken: het netwerk, het apparaat en de kamer. Voor professionals in gevoelige sectoren is dit het moment om te beoordelen of uw huidige protocollen daadwerkelijk iemand zouden stoppen die door de voordeur naar binnen loopt en eruitziet alsof hij er thuishoort.