การรั่วไหลของข้อมูล

FBI เตือนกลุ่ม Silent Ransom Group ปลอมตัวเป็นเจ้าหน้าที่ IT เข้าถึงสำนักงานกฎหมาย

28 พฤษภาคม 2569อ่าน 5 นาที

By ซาร่าห์ เฉิน — ได้รับการรับรอง CEH, มีพื้นฐานด้าน penetration testing และ network security

FBI เตือนกลุ่ม Silent Ransom Group ปลอมตัวเป็นเจ้าหน้าที่ IT เข้าถึงสำนักงานกฎหมาย

FBI ได้ออกคำเตือนอย่างเป็นทางการว่ากลุ่มภัยคุกคามที่รู้จักกันในชื่อ Silent Ransom Group (SRG) กำลังมุ่งเป้าโจมตีสำนักงานกฎหมาย ด้วยการใช้วิศวกรรมสังคมผสมผสานกับการปลอมตัวเข้าไปยังสถานที่จริง ซึ่งแตกต่างจากการโจมตีไซเบอร์ส่วนใหญ่ที่มีต้นทางจากระยะไกล เจ้าหน้าที่ปฏิบัติการของ SRG ปรากฏตัวด้วยตัวเอง โดยสวมรอยเป็นเจ้าหน้าที่ฝ่ายสนับสนุนด้าน IT เข้าถึงอุปกรณ์ในสำนักงาน ขโมยข้อมูลสำคัญ แล้วจึงเรียกค่าไถ่จากองค์กรเหล่านั้น สำหรับผู้ประกอบวิชาชีพกฎหมายที่เชื่อว่าการป้องกันทางดิจิทัลของตนเพียงพอแล้ว คำเตือนนี้ถือเป็นสัญญาณเตือนครั้งสำคัญ

Silent Ransom Group เข้าถึงเครือข่ายสำนักงานกฎหมายได้อย่างไร

วิธีการของ SRG นั้นตรงไปตรงมาแต่ได้ผลสูง ผู้โจมตีจะสอดแนมสำนักงานกฎหมายเป้าหมาย ระบุตัวบุคคล ที่ตั้งสำนักงาน และขั้นตอนการทำงานด้าน IT จากนั้นพวกเขาจะมาปรากฏตัวที่สำนักงาน โดยปลอมเป็นช่างเทคนิค IT หรือผู้รับเหมาฝ่ายสนับสนุน ด้วยการแสดงความมั่นใจและความคุ้นเคยกับสภาพแวดล้อมของสำนักงาน พวกเขาทำให้พนักงานหลงเชื่อและให้สิทธิ์เข้าถึงคอมพิวเตอร์ เซิร์ฟเวอร์ หรืออุปกรณ์เครือข่ายอื่น ๆ

เมื่อเข้าไปได้แล้ว กลุ่มคนร้ายจะดึงข้อมูลจากเครื่องที่พวกเขาสามารถสัมผัสได้โดยตรง ซึ่งอาจรวมถึงไฟล์ของลูกความ เอกสารคดี บันทึกทางการเงิน หรือการสื่อสารที่เป็นความลับทางวิชาชีพ หลังจากขโมยข้อมูลออกมาแล้ว เหยื่อจะได้รับข้อเรียกร้องค่าไถ่ พร้อมขู่ว่าจะเผยแพร่หรือขายข้อมูลที่ถูกขโมยไปหากไม่จ่ายเงิน

สำนักงานกฎหมายเป็นเป้าหมายที่น่าสนใจอย่างยิ่งสำหรับรูปแบบการโจมตีเช่นนี้ พวกเขาครอบครองข้อมูลของลูกความที่มีความอ่อนไหว เป็นความลับทางวิชาชีพ และมักเป็นข้อมูลลับจำนวนมหาศาล นอกจากนี้ ในอดีตสำนักงานกฎหมายเป็นสถาบันที่สร้างขึ้นบนความไว้วางใจและความสัมพันธ์ทางวิชาชีพ ซึ่งทำให้พนักงานมีแนวโน้มที่จะให้ความสะดวกแก่บุคคลที่ดูเหมือนมาปฏิบัติหน้าที่อย่างเป็นทางการ

ทำไม VPN และการแบ่งส่วนเครือข่ายจึงหยุดยั้งคนที่อยู่ในห้องแล้วไม่ได้

การพูดคุยเรื่องความปลอดภัยไซเบอร์ส่วนใหญ่มุ่งไปที่ภัยคุกคามระยะไกล เช่น อีเมลฟิชชิ่ง การโจมตีด้วยการป้อนข้อมูลประจำตัวที่ถูกขโมย แรนซัมแวร์ที่ส่งผ่านลิงก์อันตราย เครื่องมือที่มักถูกนำมาใช้ตอบโต้ ได้แก่ VPN ไฟร์วอลล์ และการแบ่งส่วนเครือข่าย ถูกออกแบบมาเพื่อควบคุมทราฟฟิกที่เข้าและออกจากระบบผ่านอินเทอร์เน็ต สิ่งเหล่านี้แทบไม่มีประโยชน์เมื่อผู้โจมตีนั่งอยู่ที่เครื่องคอมพิวเตอร์ภายในอาคาร

การโจมตีด้วยการปลอมตัวเข้าไปยังสำนักงานกฎหมายที่กลุ่มอย่าง SRG ใช้ ข้ามผ่านการป้องกันบนเครือข่ายทุกระดับ หากใครได้นั่งหน้าเครื่องคอมพิวเตอร์ที่ลงชื่อเข้าใช้ไว้แล้ว การยืนยันตัวตนหลายปัจจัยก็ถูกผ่านไปแล้วเรียบร้อย หากพวกเขาเสียบไดรฟ์ USB หรือเข้าถึงโฟลเดอร์ที่แชร์ไว้บนเครือข่ายท้องถิ่น อุโมงค์ที่เข้ารหัสระหว่างผู้ใช้ระยะไกลก็ไม่มีความหมายอะไร การแบ่งส่วนเครือข่ายสามารถจำกัดการเคลื่อนที่ในแนวราบได้บ้าง แต่ไม่สามารถป้องกันการเข้าถึงสิ่งที่เข้าถึงได้อยู่แล้วจากอุปกรณ์ที่กำลังใช้งานอยู่

นี่คือปัญหาแกนกลางของการมองความปลอดภัยไซเบอร์เป็นเรื่องทางเทคนิคเพียงอย่างเดียว พฤติกรรมมนุษย์และสภาพแวดล้อมทางกายภาพสร้างพื้นผิวการโจมตีที่ไม่มีผลิตภัณฑ์ซอฟต์แวร์ใดรับมือได้อย่างสมบูรณ์ หลักการเดียวกันนี้ใช้ได้กับภัยคุกคามจากภายในและการใช้ข้อมูลประจำตัวในทางที่ผิด ดังที่เห็นในกรณีที่มีการเลี่ยงการควบคุมการเข้าถึง ไม่ใช่ด้วยการแฮกที่ซับซ้อน แต่ด้วยความผิดพลาดหรือความประมาทง่าย ๆ ของมนุษย์ ซึ่งเป็นรูปแบบที่ถูกสำรวจในการรายงานข่าวเกี่ยวกับ ผู้รับเหมาของ CISA ที่เปิดเผยกุญแจ AWS และรหัสผ่านบน GitHub สาธารณะ

สถาปัตยกรรมแบบ Zero-Trust และมาตรการความปลอดภัยทางกายภาพที่ช่วยลดภัยคุกคามนี้ได้จริง

สถาปัตยกรรมแบบ Zero-Trust มักถูกพูดถึงในบริบทของการเข้าถึงระยะไกล แต่หลักการสำคัญของมันใช้ได้โดยตรงกับสถานการณ์นี้ อย่าทึกทักว่าบุคคลหรืออุปกรณ์ควรได้รับสิทธิ์เข้าถึงเพียงเพราะพวกเขาอยู่ในสถานที่ที่ถูกต้อง สำหรับสภาพแวดล้อมทางกายภาพ หลักการนี้แปลไปสู่แนวปฏิบัติที่เป็นรูปธรรมหลายประการ

ประการแรก กระบวนการตรวจสอบผู้มาติดต่อและผู้ขายต้องมีการกำหนดเป็นทางการและบังคับใช้อย่างสม่ำเสมอ บุคคลใดก็ตามที่อ้างว่าเป็นฝ่ายสนับสนุน IT ต้องได้รับการยืนยันผ่านช่องทางอิสระก่อนที่จะได้รับอนุญาตให้เข้าถึงอุปกรณ์ใด ๆ โดยไม่มีการควบคุมดูแล นั่นหมายถึงการโทรศัพท์ไปยังแผนก IT โดยตรง ไม่ใช้หมายเลขที่ผู้มาเยือนให้ไว้ และยืนยันว่ามีกำหนดการนัดหมายไว้จริง

ประการที่สอง เครื่องคอมพิวเตอร์และอุปกรณ์ควรต้องให้ยืนยันตัวตนใหม่หลังจากไม่ได้ใช้งานเป็นระยะเวลาหนึ่ง และตามอุดมคติแล้วไม่ควรคงสภาพการลงชื่อเข้าใช้ระบบสำคัญทิ้งไว้เมื่อไม่มีคนอยู่ การใช้ตัวล็อกพอร์ตกายภาพหรือตัวบล็อก USB สามารถป้องกันการถ่ายโอนข้อมูลโดยไม่ได้รับอนุญาตจากอุปกรณ์ที่ถูกเข้าถึงโดยพลการ

ประการที่สาม การบันทึกการเข้าถึงในระดับอุปกรณ์มีความสำคัญ หากมีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงได้จริง ร่องรอยทางนิติวิทยาศาสตร์จะช่วยระบุได้ว่าข้อมูลใดถูกนำออกไป และจำกัดขอบเขตของข้อเรียกร้องค่าไถ่ที่ตามมา

ท้ายที่สุด การฝึกอบรมพนักงานต้องเจาะจงถึงสถานการณ์ทางวิศวกรรมสังคมที่เกิดขึ้นทางกายภาพ ไม่ใช่แค่อีเมลฟิชชิ่ง พนักงานในสำนักงานกฎหมาย โดยเฉพาะพนักงานต้อนรับ ควรรู้ว่าความสุภาพและการคล้อยตามผู้ที่ดูเหมือนมีอำนาจ คือลักษณะนิสัยที่ผู้โจมตีใช้ประโยชน์

สิ่งนี้หมายความอย่างไรสำหรับคุณ: ขั้นตอนที่นำไปปฏิบัติได้สำหรับมืออาชีพในอุตสาหกรรมที่มีความอ่อนไหว

หากคุณทำงานในด้านกฎหมาย การเงิน การดูแลสุขภาพ หรือสาขาอื่นใดที่จัดการข้อมูลที่เป็นความลับทางวิชาชีพหรือถูกควบคุม คำเตือนของ SRG ควรกระตุ้นให้มีการทบทวนสถานะความปลอดภัยทั้งทางดิจิทัลและทางกายภาพของคุณ นี่คือจุดเริ่มต้น:

ตรวจสอบระเบียบการเข้าถึงของผู้มาติดต่อ องค์กรของคุณมีกระบวนการอย่างเป็นทางการในการยืนยันการเข้าเยี่ยมของ IT ที่ไม่ได้นัดหมายหรือไม่? หากคำตอบคือไม่หรือไม่ชัดเจน ช่องโหว่นั้นต้องปิดทันที
ทบทวนนโยบายการล็อกอุปกรณ์และการยืนยันตัวตน อุปกรณ์ที่ล็อกอัตโนมัติเมื่อไม่มีการใช้งานและต้องใช้ข้อมูลประจำตัวเพื่อกลับมาใช้งานต่อ ช่วยลดช่วงเวลาที่เปิดโอกาสให้ผู้โจมตีทางกายภาพได้อย่างมาก
ฝึกอบรมพนักงานเกี่ยวกับวิศวกรรมสังคมทางกายภาพ จัดสถานการณ์จำลองกับทีมของคุณ โดยให้ใครสักคนปลอมเป็นผู้ขายหรือผู้รับเหมา IT ฝึกนิสัยการตรวจสอบก่อนให้สิทธิ์เข้าถึง
ประเมินรูปแบบการเข้าถึงข้อมูลของคุณ ใช้หลักการให้สิทธิ์น้อยที่สุด เพื่อให้แม้เครื่องคอมพิวเตอร์เครื่องใดจะถูกบุกรุก ผู้โจมตีก็ไม่สามารถเข้าถึงข้อมูลเกินกว่าที่บัญชีผู้ใช้เฉพาะนั้นจัดการได้ตามปกติ
ตรวจสอบนโยบายการเข้าถึงระยะไกลของคุณด้วย ความปลอดภัยทางกายภาพและการควบคุมการเข้าถึงทางดิจิทัลทำงานร่วมกัน การทบทวนด้านใดด้านหนึ่งโดยไม่มองอีกด้าน จะทำให้เกิดช่องว่าง

คำเตือนของ FBI เกี่ยวกับกลุ่ม Silent Ransom Group เป็นเครื่องเตือนใจว่า การรักษาความปลอดภัยที่มีประสิทธิภาพต้องคิดถึงภัยคุกคามในสามมิติ: เครือข่าย อุปกรณ์ และพื้นที่ทางกายภาพ สำหรับมืออาชีพในอุตสาหกรรมที่มีความอ่อนไหว ถึงเวลาแล้วที่จะประเมินว่าระเบียบปฏิบัติปัจจุบันของคุณจะหยุดยั้งใครสักคนที่เดินเข้ามาทางประตูหน้าพร้อมกับทำตัวเหมือนเป็นส่วนหนึ่งของที่นั่นได้หรือไม่

// คำถามที่พบบ่อย

Silent Ransom Group คืออะไรและพวกเขาโจมตีสำนักงานกฎหมายอย่างไร?

Silent Ransom Group (SRG) คือกลุ่มภัยคุกคามที่ปลอมตัวเป็นเจ้าหน้าที่ IT ตามสำนักงานกฎหมายเพื่อเข้าถึงอุปกรณ์ในสำนักงาน ขโมยข้อมูลสำคัญ แล้วจึงเรียกค่าไถ่จากองค์กร

ผู้โจมตีเข้าถึงคอมพิวเตอร์ของสำนักงานกฎหมายได้ทางกายภาพอย่างไร?

พวกเขาจะศึกษาข้อมูลบุคลากรและขั้นตอนการทำงานด้าน IT ของสำนักงานก่อน จากนั้นมาปรากฏตัวด้วยตนเองโดยปลอมเป็นช่างเทคนิค IT หรือผู้รับเหมาฝ่ายสนับสนุน ใช้ความมั่นใจและความคุ้นเคยเพื่อโน้มน้าวให้พนักงานให้สิทธิ์เข้าถึง

ทำไมสำนักงานกฎหมายจึงเสี่ยงต่อการโจมตีประเภทนี้เป็นพิเศษ?

สำนักงานกฎหมายครอบครองข้อมูลของลูกความที่เป็นความลับทางวิชาชีพและเป็นความลับจำนวนมหาศาล และดำเนินงานภายใต้วัฒนธรรมแห่งความไว้วางใจ ซึ่งทำให้พนักงานมีแนวโน้มจะให้สิทธิ์เข้าถึงแก่บุคคลที่ดูเหมือนเป็นตัวแทนฝ่าย IT อย่างเป็นทางการ

ทำไม VPN และการแบ่งส่วนเครือข่ายจึงไม่สามารถป้องกันการโจมตีด้วยการปลอมตัวแบบนี้ได้?

ระบบป้องกันเหล่านี้จัดการเฉพาะทราฟฟิกระยะไกลและขอบเขตเครือข่าย ผู้โจมตีที่นั่งอยู่ที่เครื่องคอมพิวเตอร์ที่ลงชื่อเข้าใช้แล้วภายในสำนักงานจะข้ามผ่านสิ่งเหล่านี้ไปได้ทั้งหมด

ผู้โจมตีทำอะไรหลังจากขโมยข้อมูลไปแล้ว?

พวกเขาออกข้อเรียกร้องค่าไถ่ ข่มขู่ว่าจะเผยแพร่หรือขายข้อมูลที่ถูกขโมยหากไม่จ่ายเงิน

FBI เตือนกลุ่ม Silent Ransom Group ปลอมตัวเป็นเจ้าหน้าที่ IT เข้าถึงสำนักงานกฎหมาย

Silent Ransom Group เข้าถึงเครือข่ายสำนักงานกฎหมายได้อย่างไร

ทำไม VPN และการแบ่งส่วนเครือข่ายจึงหยุดยั้งคนที่อยู่ในห้องแล้วไม่ได้

สถาปัตยกรรมแบบ Zero-Trust และมาตรการความปลอดภัยทางกายภาพที่ช่วยลดภัยคุกคามนี้ได้จริง

สิ่งนี้หมายความอย่างไรสำหรับคุณ: ขั้นตอนที่นำไปปฏิบัติได้สำหรับมืออาชีพในอุตสาหกรรมที่มีความอ่อนไหว

// คำถามที่พบบ่อย

// ที่เกี่ยวข้อง