FBI advarer: Silent Ransom Group utgir seg fysisk for å være IT-ansatte ved advokatfirmaer

FBI advarer: Silent Ransom Group utgir seg fysisk for å være IT-ansatte ved advokatfirmaer

FBI har sendt ut en formell advarsel om at en trusselaktør kjent som Silent Ransom Group (SRG) retter seg mot advokatfirmaer gjennom en kombinasjon av sosial manipulering og fysisk etterligning. I motsetning til de fleste cyberangrep som kommer fra eksterne lokasjoner, møter SRG-operatører opp personlig, utgir seg for å være IT-supportpersonell, skaffer seg fysisk tilgang til kontorenheter, stjeler sensitive data og presser deretter organisasjonene. For jurister som antar at deres digitale forsvar er tilstrekkelig, er denne advarselen en betydelig vekker.

Hvordan Silent Ransom Group skaffer seg fysisk tilgang til advokatfirmaers nettverk

Mekanismene i SRGs tilnærming er enkle, men svært effektive. Angriperne utfører rekognosering mot et utvalgt advokatfirma, og kartlegger personell, kontorlokaler og IT-arbeidsflyt. Deretter presenterer de seg fysisk på kontoret og utgir seg for å være IT-teknikere eller supportleverandører. Ved å utstråle selvtillit og kjennskap til firmaets miljø, overbeviser de ansatte om å gi tilgang til datamaskiner, servere eller andre nettverkstilkoblede enheter.

Når de er inne, henter gruppen ut data direkte fra maskinene de fysisk kan berøre. Dette kan omfatte klientfiler, saksdokumentasjon, finansielle opplysninger eller privilegert kommunikasjon. Etter eksfiltrasjon mottar ofrene utpressingskrav med trussel om å offentliggjøre eller selge den stjålne informasjonen dersom betaling ikke skjer.

Advokatfirmaer er et spesielt attraktivt mål i denne modellen. De besitter enorme mengder sensitiv, fortrolig og ofte taushetsbelagt klientdata. De er også, historisk sett, institusjoner bygget på tillit og profesjonelle relasjoner, noe som gjør ansatte mer tilbøyelige til å vise imøtekommenhet overfor noen som tilsynelatende er der i en offisiell kapasitet.

Hvorfor VPN og nettverkssegmentering ikke stopper noen som allerede er i rommet

De fleste samtaler om cybersikkerhet dreier seg om eksterne trusler: phishing-e-poster, credential stuffing, løsepengevirus levert via ondsinnede lenker. Verktøyene som vanligvis tas i bruk som svar, inkludert VPN, brannmurer og nettverkssegmentering, er utformet for å kontrollere hvilken trafikk som kommer inn i og ut av et system over internett. De er i stor grad irrelevante når en angriper sitter ved en arbeidsstasjon inne i bygningen.

Fysiske etterligningsangrep som advokatfirmaer utsettes for fra grupper som SRG omgår ethvert nettverksbasert forsvarslag. Hvis noen får sitte ved en pålogget datamaskin, har flerfaktorautentisering allerede blitt bestått. Hvis de kobler til en USB-minnepinne eller får tilgang til en delt mappe over det lokale nettverket, betyr krypterte tunneler mellom eksterne brukere ingenting. Nettverkssegmentering kan til en viss grad begrense lateral bevegelse, men det forhindrer ikke tilgang til det som allerede er tilgjengelig fra enheten som brukes.

Dette er kjerneproblemet med å behandle cybersikkerhet som en rent teknisk disiplin. Menneskelig atferd og fysiske miljøer skaper angrepsflater som ingen programvareprodukt fullt ut adresserer. Det samme prinsippet gjelder innsidetrusler og misbruk av påloggingsinformasjon, slik det er sett i tilfeller der tilgangskontroller omgås ikke av sofistikert hacking, men av enkle menneskelige feil eller forsømmelser, et mønster utforsket i dekningen av en CISA-kontraktør som eksponerte AWS-nøkler og passord på et offentlig GitHub-repositorium.

Nulltillit og fysiske sikkerhetstiltak som faktisk motvirker denne trusselen

Nulltillitsarkitektur diskuteres ofte i forbindelse med ekstern tilgang, men kjerneprinsippet gjelder direkte her: anta aldri at en person eller enhet skal ha tilgang bare fordi de ser ut til å være på rett sted. For fysiske miljøer oversettes dette til noen konkrete praksiser.

For det første må prosesser for verifisering av besøkende og leverandører formaliseres og håndheves konsekvent. Enhver person som hevder å være IT-support bør verifiseres gjennom en uavhengig kanal før de får uovervåket tilgang til noen enhet. Det betyr å ringe IT-avdelingen direkte, ikke bruke et nummer oppgitt av den besøkende, og bekrefte at besøket var planlagt.

For det andre bør arbeidsstasjoner og enheter kreve ny autentisering etter perioder med inaktivitet, og ideelt sett bør de ikke forbli pålogget sensitive systemer uten tilsyn. Fysiske portlåser eller USB-blokkere kan forhindre uautoriserte dataoverføringer fra enheter som aksesseres uten tillatelse.

For det tredje er tilgangslogging på enhetsnivå avgjørende. Hvis en uautorisert person likevel skaffer seg tilgang, hjelper sporingsdata med å identifisere hva som ble tatt og begrense omfanget av et påfølgende utpressingskrav.

Til slutt må opplæring av ansatte eksplisitt adressere fysiske sosiale manipuleringsscenarioer, ikke bare phishing-e-poster. Ansatte ved advokatfirmaer, spesielt resepsjonspersonale, bør vite at høflighet og respekt for tilsynelatende autoritet er nettopp de trekkene angripere utnytter.

Hva dette betyr for deg: Konkrete tiltak for fagpersoner i sensitive bransjer

Hvis du jobber innen jus, finans, helsevesen eller et annet felt som håndterer privilegert eller regulert informasjon, bør SRG-advarselen føre til en gjennomgang av både din digitale og fysiske sikkerhetsstilling. Her er hvor du kan begynne:

• Revidere protokoller for besøkendes tilgang. Har organisasjonen din en formell prosess for å verifisere uanmeldte IT-besøk? Hvis svaret er nei eller uklart, må det gapet lukkes umiddelbart.
• Gjennomgå retningslinjer for enhetslåsing og autentisering. Enheter som låses automatisk etter inaktivitet og krever påloggingsinformasjon for å gjenopptas, reduserer betydelig angriperens mulighetsvindu.
• Lær opp ansatte i fysisk sosial manipulering. Gjennomfør scenarioer med teamet ditt der noen utgir seg for å være en leverandør eller IT-kontraktør. Øv på vanen med verifisering før tilgang gis.
• Evaluer din datatilgangsmodell. Bruk prinsippet om minste privilegium slik at selv om en arbeidsstasjon kompromitteres, kan ikke angriperen nå data utover det den aktuelle brukerkontoen normalt håndterer.
• Sjekk også retningslinjene for ekstern tilgang. Fysisk sikkerhet og digitale tilgangskontroller fungerer sammen. Å gjennomgå den ene uten den andre etterlater hull.

FBIs advarsel om Silent Ransom Group er en påminnelse om at effektiv sikkerhet krever at man tenker på trusler i tre dimensjoner: nettverket, enheten og rommet. For fagpersoner i sensitive bransjer er tiden inne for å vurdere om gjeldende protokoller faktisk ville stoppe noen som går inn døren og ser ut som de hører hjemme.