ФБР предупреждает: группа Silent Ransom Group физически выдает себя за IT-персонал в юридических фирмах

ФБР предупреждает: группа Silent Ransom Group физически выдает себя за IT-персонал в юридических фирмах

ФБР выпустило официальное предупреждение о том, что злоумышленники, известные как Silent Ransom Group (SRG), атакуют юридические фирмы, сочетая социальную инженерию и физическое проникновение под видом IT-специалистов. В отличие от большинства кибератак, исходящих из удаленных точек, оперативники SRG появляются лично, представляясь сотрудниками техподдержки, получают физический доступ к офисным устройствам, похищают конфиденциальные данные, а затем шантажируют организации. Для юристов, считающих свою цифровую защиту достаточной, это предупреждение — серьезный сигнал к пробуждению.

Как Silent Ransom Group получает физический доступ к сетям юридических фирм

Механика действий SRG проста, но чрезвычайно эффективна. Злоумышленники проводят разведку в отношении целевой фирмы, выявляя персонал, офисные помещения и IT-процессы. Затем они физически предстают в офисе, выдавая себя за IT-техников или привлеченных специалистов поддержки. Демонстрируя уверенность и осведомленность о рабочей среде фирмы, они убеждают сотрудников предоставить доступ к компьютерам, серверам или другим сетевым устройствам.

Оказавшись внутри, группа извлекает данные непосредственно с машин, к которым получает физический доступ. Это могут быть файлы клиентов, материалы дел, финансовая документация или конфиденциальная переписка. После эксфильтрации данных жертвам предъявляются требования выкупа с угрозой опубликовать или продать украденную информацию, если платеж не будет произведен.

Юридические фирмы в этой модели являются особенно привлекательной целью. Они хранят огромные объемы чувствительных, защищенных адвокатской тайной и часто конфиденциальных клиентских данных. Кроме того, исторически это институты, построенные на доверии и профессиональных отношениях, из-за чего сотрудники более склонны проявлять любезность к тому, кто, по-видимому, находится там в официальном качестве.

Почему VPN и сегментация сети не остановят того, кто уже находится в помещении

Большинство дискуссий о кибербезопасности сосредоточено на удаленных угрозах: фишинговых письмах, подборе учетных данных, программах-вымогателях, распространяемых через вредоносные ссылки. Инструменты, обычно применяемые в ответ — VPN, межсетевые экраны и сегментация сети, — предназначены для контроля трафика, входящего и исходящего через интернет. Они практически бесполезны, когда злоумышленник сидит за рабочей станцией внутри здания.

Физические атаки с выдачей себя за персонал, с которыми юридические фирмы сталкиваются со стороны групп типа SRG, обходят каждый уровень сетевой защиты. Если кому-то предоставлено место за компьютером с выполненным входом в систему, многофакторная аутентификация уже пройдена. Если он подключает USB-накопитель или обращается к общим папкам по локальной сети, зашифрованные туннели между удаленными пользователями ничего не значат. Сегментация сети в некоторой степени может ограничить горизонтальное перемещение, но не предотвратит доступ к тому, что уже доступно с используемого устройства.

В этом ключевая проблема отношения к кибербезопасности как к чисто технической дисциплине. Человеческое поведение и физическая среда создают поверхности атаки, которые ни один программный продукт полностью не закрывает. Тот же принцип применим к инсайдерским угрозам и злоупотреблению учетными данными, как это видно на примерах, когда контроль доступа обходится не изощренным взломом, а простой человеческой ошибкой или халатностью — модель, рассмотренная в материале о подрядчике CISA, который выложил ключи AWS и пароли в публичный репозиторий GitHub.

Zero-Trust и меры физической безопасности, реально снижающие эту угрозу

Архитектура нулевого доверия (Zero-Trust) часто обсуждается в контексте удаленного доступа, но ее основной принцип применим здесь напрямую: никогда не предполагайте, что человек или устройство должны иметь доступ только потому, что они находятся в нужном месте. Для физической среды это выливается в несколько конкретных практик.

Во-первых, процедуры проверки посетителей и поставщиков услуг должны быть формализованы и последовательно соблюдаться. Любой, кто заявляет, что является сотрудником IT-поддержки, должен быть проверен по независимому каналу, прежде чем ему предоставят неконтролируемый доступ к любому устройству. Это означает звонок напрямую в IT-отдел, а не по номеру, предоставленному посетителем, и подтверждение того, что визит был запланирован.

Во-вторых, рабочие станции и устройства должны требовать повторной аутентификации после любого периода бездействия и, в идеале, не должны оставаться авторизованными в чувствительных системах, когда остаются без присмотра. Физические замки портов или блокираторы USB могут предотвратить несанкционированную передачу данных с устройств, к которым был получен доступ без разрешения.

В-третьих, важен журналируемый доступ на уровне устройства. Если несанкционированное лицо все же получит доступ, криминалистические следы помогут определить, что было взято, и ограничить масштаб последующего шантажа.

Наконец, обучение персонала должно прямо затрагивать сценарии физической социальной инженерии, а не только фишинговых писем. Сотрудники юридических фирм, особенно персонал на стойке регистрации, должны знать, что вежливость и почтение к кажущемуся авторитету — это именно те черты, которые используют злоумышленники.

Что это значит для вас: практические шаги для профессионалов чувствительных отраслей

Если вы работаете в юриспруденции, финансах, здравоохранении или любой другой сфере, связанной с конфиденциальной или регулируемой информацией, предупреждение о SRG должно стать поводом для пересмотра как цифровой, так и физической защиты. Вот с чего начать:

• Проведите аудит протоколов доступа посетителей. Существует ли в вашей организации формальный процесс проверки внеплановых визитов IT-специалистов? Если ответ отрицательный или неясный, этот пробел необходимо устранить немедленно.
• Пересмотрите политики блокировки устройств и аутентификации. Устройства, автоматически блокирующиеся при бездействии и требующие учетных данных для возобновления работы, значительно сокращают окно возможностей для физического злоумышленника.
• Обучите персонал физической социальной инженерии. Проводите с командой сценарии, в которых кто-то выдает себя за поставщика услуг или IT-подрядчика. Отрабатывайте привычку проверки перед предоставлением доступа.
• Оцените модель доступа к данным. Применяйте принципы минимальных привилегий, чтобы даже при компрометации рабочей станции злоумышленник не мог получить доступ к данным за пределами того, что обычно обрабатывает учетная запись этого конкретного пользователя.
• Проверьте и политики удаленного доступа. Физическая безопасность и цифровой контроль доступа работают вместе. Пересмотр одного без другого оставляет бреши.

Предупреждение ФБР о Silent Ransom Group напоминает, что эффективная безопасность требует мыслить об угрозах в трех измерениях: сеть, устройство и помещение. Для профессионалов в чувствительных отраслях сейчас самое время оценить, действительно ли ваши текущие протоколы остановят того, кто входит через парадную дверь, выглядя так, будто ему здесь самое место.