FBI ostrzega: grupa Silent Ransom fizycznie podszywa się pod pracowników IT w kancelariach prawnych

FBI ostrzega: grupa Silent Ransom fizycznie podszywa się pod pracowników IT w kancelariach prawnych

FBI wydało oficjalne ostrzeżenie, że podmiot grożący znany jako Silent Ransom Group (SRG) atakuje kancelarie prawne, łącząc socjotechnikę z fizycznym podszywaniem się. W odróżnieniu od większości cyberataków prowadzonych zdalnie, członkowie SRG pojawiają się osobiście, podając się za personel wsparcia IT, uzyskują fizyczny dostęp do urządzeń w biurze, kradną wrażliwe dane, a następnie szantażują organizacje. Dla prawników przekonanych, że ich cyfrowe zabezpieczenia są wystarczające, ten alert jest poważnym sygnałem ostrzegawczym.

Jak Silent Ransom Group zdobywa fizyczny dostęp do sieci kancelarii prawnych

Mechanika działania SRG jest prosta, ale niezwykle skuteczna. Napastnicy przeprowadzają rozpoznanie celu – kancelarii prawnej – identyfikując personel, lokalizacje biur i procedury IT. Następnie fizycznie pojawiają się w biurze, podszywając się pod techników IT lub zewnętrznych pracowników wsparcia. Okazując pewność siebie i znajomość środowiska firmy, przekonują personel, by udzielił im dostępu do komputerów, serwerów lub innych urządzeń podłączonych do sieci.

Gdy już dostaną się do środka, grupa wydobywa dane bezpośrednio z maszyn, do których ma fizyczny dostęp. Mogą to być akta klientów, dokumentacja spraw, dokumenty finansowe lub uprzywilejowana komunikacja. Po eksfiltracji ofiary otrzymują żądania okupu z groźbą opublikowania lub sprzedaży skradzionych informacji, jeśli nie zostanie dokonana płatność.

Kancelarie prawne są w tym modelu szczególnie atrakcyjnym celem. Przechowują ogromne ilości wrażliwych, uprzywilejowanych i często poufnych danych klientów. Są to również instytucje historycznie oparte na zaufaniu i relacjach zawodowych, co sprawia, że personel jest bardziej skłonny okazać uprzejmość komuś, kto wydaje się pełnić oficjalną funkcję.

Dlaczego VPN i segmentacja sieci nie powstrzymują kogoś, kto jest już w pomieszczeniu

Większość rozmów o cyberbezpieczeństwie koncentruje się na zagrożeniach zdalnych: e-mailach phishingowych, uzupełnianiu poświadczeń (credential stuffing), ransomware dostarczanym przez złośliwe linki. Narzędzia zazwyczaj wdrażane w odpowiedzi, w tym VPN, zapory sieciowe i segmentacja sieci, służą do kontrolowania ruchu wchodzącego i wychodzącego z systemu przez internet. Są one w dużej mierze nieistotne, gdy napastnik siedzi przy stacji roboczej wewnątrz budynku.

Ataki fizycznego podszywania się, z jakimi spotykają się kancelarie prawne ze strony grup takich jak SRG, omijają każdą warstwę obrony sieciowej. Jeśli ktoś otrzyma miejsce przy zalogowanym komputerze, uwierzytelnianie wieloskładnikowe zostało już pominięte. Jeśli podłączy pamięć USB lub uzyska dostęp do folderu współdzielonego w sieci lokalnej, zaszyfrowane tunele między zdalnymi użytkownikami nic nie znaczą. Segmentacja sieci może w pewnym stopniu ograniczyć ruch boczny, ale nie uniemożliwia dostępu do tego, co jest już dostępne z używanego urządzenia.

To jest podstawowy problem z traktowaniem cyberbezpieczeństwa jako kwestii czysto technicznej. Zachowania ludzkie i środowiska fizyczne tworzą powierzchnie ataku, których żaden produkt programowy nie adresuje w pełni. Ta sama zasada dotyczy zagrożeń wewnętrznych i nadużywania poświadczeń, jak w przypadkach, gdy kontrola dostępu jest omijana nie przez wyrafinowane hakowanie, ale przez zwykły ludzki błąd lub zaniedbanie – schemat ten opisano w materiale o wykonawcy CISA, który upublicznił klucze AWS i hasła w publicznym repozytorium GitHub.

Architektura zero trust i zabezpieczenia fizyczne, które faktycznie ograniczają to zagrożenie

Architektura zero trust jest często omawiana w kontekście dostępu zdalnego, ale jej podstawowa zasada ma tu bezpośrednie zastosowanie: nigdy nie zakładaj, że osoba lub urządzenie powinny mieć dostęp tylko dlatego, że wydają się być we właściwym miejscu. W środowiskach fizycznych przekłada się to na kilka konkretnych praktyk.

Po pierwsze, procesy weryfikacji gości i dostawców muszą być sformalizowane i konsekwentnie egzekwowane. Każda osoba podająca się za pracownika wsparcia IT powinna zostać zweryfikowana niezależnym kanałem, zanim otrzyma nienadzorowany dostęp do jakiegokolwiek urządzenia. Oznacza to bezpośredni telefon do działu IT, a nie korzystanie z numeru podanego przez gościa, i potwierdzenie, że wizyta była zaplanowana.

Po drugie, stacje robocze i urządzenia powinny wymagać ponownego uwierzytelnienia po każdym okresie bezczynności i najlepiej nie powinny pozostawać zalogowane do wrażliwych systemów, gdy są pozostawione bez nadzoru. Fizyczne blokady portów lub blokery USB mogą zapobiec nieautoryzowanemu transferowi danych z urządzeń, do których uzyskano dostęp bez upoważnienia.

Po trzecie, rejestrowanie dostępu na poziomie urządzenia ma znaczenie. Gdyby osoba nieupoważniona uzyskała dostęp, ślady kryminalistyczne pomagają zidentyfikować, co zostało zabrane, i ograniczyć zakres późniejszych roszczeń o okup.

Wreszcie, szkolenie personelu musi wyraźnie obejmować scenariusze fizycznej socjotechniki, a nie tylko e-maile phishingowe. Pracownicy kancelarii prawnych, a zwłaszcza personel recepcji, powinni wiedzieć, że uprzejmość i uległość wobec pozorów autorytetu to dokładnie te cechy, które napastnicy wykorzystują.

Co to oznacza dla Ciebie: konkretne kroki dla profesjonalistów z branż wrażliwych

Jeśli pracujesz w branży prawniczej, finansowej, opiece zdrowotnej lub w jakiejkolwiek innej dziedzinie przetwarzającej informacje uprzywilejowane lub regulowane, ostrzeżenie o SRG powinno skłonić do przeglądu zarówno cyfrowych, jak i fizycznych zabezpieczeń. Oto od czego zacząć:

• Przeprowadź audyt procedur dostępu dla gości. Czy Twoja organizacja ma formalny proces weryfikacji niezaplanowanych wizyt IT? Jeśli odpowiedź brzmi „nie” lub jest niejasna, tę lukę należy natychmiast zamknąć.
• Przejrzyj zasady blokady urządzeń i uwierzytelniania. Urządzenia, które automatycznie blokują się po okresie bezczynności i wymagają poświadczeń do wznowienia pracy, znacząco skracają okno możliwości dla fizycznego napastnika.
• Przeszkol personel w zakresie fizycznej socjotechniki. Przeprowadź z zespołem symulacje, w których ktoś podszywa się pod dostawcę lub pracownika IT. Wyćwicz nawyk weryfikacji przed udzieleniem dostępu.
• Oceń model dostępu do danych. Stosuj zasadę najmniejszych uprawnień, tak aby nawet w przypadku przejęcia stacji roboczej napastnik nie mógł sięgnąć po dane wykraczające poza to, co normalnie obsługuje dane konto użytkownika.
• Sprawdź również swoje zasady dostępu zdalnego. Bezpieczeństwo fizyczne i cyfrowa kontrola dostępu działają razem. Przeglądanie jednego bez drugiego pozostawia luki.

Alert FBI dotyczący Silent Ransom Group przypomina, że skuteczne bezpieczeństwo wymaga myślenia o zagrożeniach w trzech wymiarach: sieci, urządzenia i pomieszczenia. Dla profesjonalistów z branż wrażliwych nadszedł czas, by ocenić, czy obecne protokoły faktycznie powstrzymałyby kogoś, kto wchodzi frontowymi drzwiami, wyglądając jak ktoś, kto ma tu być.