Silent Ransom Group nedir ve hukuk firmalarına nasıl saldırıyor?

Silent Ransom Group (SRG), hukuk firmalarında BT personeli gibi fiziksel olarak kimlik taklidi yaparak ofis cihazlarına erişen, hassas verileri çalan ve ardından kuruluşlara şantaj yapan bir tehdit aktörüdür.

Saldırganlar bir hukuk firmasının bilgisayarlarına fiziksel erişimi nasıl sağlıyor?

Önce firmanın personeli ve BT iş akışları hakkında araştırma yapıyor, ardından BT teknisyeni veya destek yüklenicisi gibi davranarak bizzat ofise geliyor ve özgüven ile ortama aşinalık gösterisiyle personeli erişim vermeye ikna ediyorlar.

Hukuk firmaları neden bu tür saldırılara karşı özellikle savunmasızdır?

Hukuk firmaları büyük miktarda ayrıcalıklı, gizli müşteri verisi barındırır ve güven kültürü içinde faaliyet gösterir; bu da personeli resmi bir BT temsilcisi gibi görünen birine erişim imkanı tanımaya daha yatkın hale getirir.

VPN’ler ve ağ segmentasyonu bu kimlik taklidi saldırılarını neden engelleyemez?

Bu savunmalar yalnızca uzak trafiği ve ağ sınırlarını yönetir; ofis içinde oturum açılmış bir bilgisayarın başında fiziksel olarak bulunan bir saldırgan bunları tamamen atlatır.

Saldırganlar verileri çaldıktan sonra ne yapar?

Fidye taleplerinde bulunarak, ödeme yapılmadığı takdirde çalınan bilgileri yayımlamak veya satmakla tehdit ederler.

FBI, Silent Ransom Group’un Hukuk Bürolarında Fiziksel Olarak BT Personelini Taklit Ettiği Uyarısında Bulundu

FBI, Silent Ransom Group (SRG) olarak bilinen bir tehdit aktörünün, sosyal mühendislik ve fiziksel kimlik taklidi saldırılarının bir kombinasyonuyla hukuk firmalarını hedef aldığına dair resmi bir uyarı yayınladı. Uzak konumlardan başlatılan çoğu siber saldırının aksine, SRG çalışanları bizzat iş yerine geliyor, BT destek personeli gibi davranarak ofis cihazlarına fiziksel erişim sağlıyor, hassas verileri çalıyor ve ardından kuruluşlara şantaj yapıyor. Dijital savunmalarının yeterli olduğunu düşünen hukuk profesyonelleri için bu uyarı, önemli bir uyandırma çağrısı niteliğinde.

Silent Ransom Group Hukuk Bürosu Ağlarına Fiziksel Erişimi Nasıl Sağlıyor?

SRG’nin yaklaşımının mekaniği basit ancak son derece etkili. Saldırganlar, hedef hukuk firması hakkında keşif yaparak personeli, ofis konumlarını ve BT iş akışlarını belirliyor. Ardından fiziksel olarak ofise gidiyor ve BT teknisyeni ya da destek yüklenicisi gibi davranıyorlar. Firma ortamına aşina olduklarını göstererek ve özgüvenli bir tavır sergileyerek, personeli bilgisayarlara, sunuculara veya diğer ağ bağlantılı cihazlara erişim vermeye ikna ediyorlar.

İçeri girdikten sonra, grup fiziksel olarak temas edebildikleri makinelerden doğrudan veri çıkarıyor. Bu veriler müşteri dosyalarını, dava dokümanlarını, finansal kayıtları veya ayrıcalıklı yazışmaları içerebiliyor. Veriler sızdırıldıktan sonra ise mağdurlara fidye talepleri iletilerek, ödeme yapılmadığı takdirde çalınan bilgilerin yayımlanacağı veya satılacağı tehdidi savruluyor.

Hukuk firmaları bu modelde özellikle cazip bir hedef konumunda. Çok büyük hacimlerde hassas, ayrıcalıklı ve genellikle gizli müşteri verisi barındırıyorlar. Aynı zamanda tarihsel olarak güven ve profesyonel ilişkiler üzerine kurulu kurumlar oldukları için, personel resmi bir kapasiteyle gelmiş gibi görünen birine nezaket göstermeye daha yatkın oluyor.

VPN’ler ve Ağ Segmentasyonu Neden Zaten Odada Olan Birini Durdurmaz?

Siber güvenlik konuşmalarının çoğu uzak tehditlere odaklanır: kimlik avı e-postaları, kimlik bilgisi doldurma, kötü amaçlı bağlantılar üzerinden bulaşan fidye yazılımları. Bu tehditlere karşı yaygın olarak kullanılan VPN’ler, güvenlik duvarları ve ağ segmentasyonu gibi araçlar, internet üzerinden bir sisteme giren ve çıkan trafiği kontrol etmek için tasarlanmıştır. Saldırgan binanın içinde bir iş istasyonunun başında otururken bu önlemler büyük ölçüde etkisiz kalır.

SRG gibi grupların hukuk firmalarına yönelttiği fiziksel kimlik taklidi saldırıları, ağ tabanlı savunmanın her katmanını atlatır. Birine oturum açılmış bir bilgisayarın başında yer verildiğinde, çok faktörlü kimlik doğrulama çoktan geçilmiş demektir. USB sürücü takar veya yerel ağ üzerinden paylaşılan bir klasöre erişirlerse, uzak kullanıcılar arasındaki şifreli tünellerin hiçbir anlamı kalmaz. Ağ segmentasyonu yatay hareketi bir dereceye kadar sınırlayabilir, ancak kullanılan cihazdan zaten erişilebilir olan verilere erişimi engellemez.

İşte siber güvenliğe yalnızca teknik bir disiplin olarak yaklaşmanın temel sorunu budur. İnsan davranışı ve fiziksel ortamlar, hiçbir yazılım ürününün tam olarak ele alamadığı saldırı yüzeyleri oluşturur. Aynı ilke, içeriden gelen tehditler ve kimlik bilgisi kötüye kullanımı için de geçerlidir; nitekim erişim kontrollerinin karmaşık hackleme yöntemleriyle değil, basit insan hatası veya ihmaliyle aşıldığı vakalarda bu durum görülür; bir CISA yüklenicisinin AWS anahtarlarını ve parolalarını halka açık bir GitHub deposunda ifşa etmesi ile ilgili haberde de bu örüntü ele alınmıştı.

Bu Tehdidi Gerçekten Azaltan Sıfır Güven ve Fiziksel Güvenlik Kontrolleri

Sıfır güven mimarisi genellikle uzaktan erişim bağlamında tartışılır, ancak temel ilkesi burada doğrudan uygulanabilir: bir kişi veya cihaz, sadece doğru yerde göründüğü için erişime sahip olması gerektiğini asla varsayma. Fiziksel ortamlar için bu, birkaç somut uygulamaya dönüşür.

Birincisi, ziyaretçi ve tedarikçi doğrulama süreçlerinin resmileştirilmesi ve tutarlı bir şekilde uygulanması gerekir. BT desteği olduğunu iddia eden herhangi bir kişi, herhangi bir cihaza gözetimsiz erişim verilmeden önce bağımsız bir kanal üzerinden doğrulanmalıdır. Bu, ziyaretçinin verdiği bir numarayı değil, doğrudan BT departmanını arayarak ziyaretin planlanıp planlanmadığını teyit etmek anlamına gelir.

İkincisi, iş istasyonları ve cihazlar herhangi bir hareketsizlik süresinden sonra yeniden kimlik doğrulama gerektirmeli ve ideal olarak başında kimse yokken hassas sistemlerde oturum açık kalmamalıdır. Fiziksel bağlantı noktası kilitleri veya USB engelleyiciler, yetkisiz erişilen cihazlardan izinsiz veri aktarımını önleyebilir.

Üçüncüsü, cihaz düzeyinde erişim günlüğü kaydı önemlidir. Yetkisiz bir kişi erişim sağlarsa, adli izler neyin alındığını belirlemeye ve müteakip bir şantaj iddiasının kapsamını sınırlamaya yardımcı olur.

Son olarak, personel eğitimi yalnızca kimlik avı e-postalarını değil, fiziksel sosyal mühendislik senaryolarını da açıkça ele almalıdır. Özellikle hukuk firmalarındaki çalışanlar, başta ön büro personeli olmak üzere, saldırganların tam olarak nezaket ve görünürdeki otoriteye saygı eğilimlerini istismar ettiğini bilmelidir.

Bu Sizin İçin Ne Anlama Geliyor: Hassas Sektörlerdeki Profesyoneller İçin Eyleme Dönük Adımlar

Hukuk, finans, sağlık hizmetleri veya ayrıcalıklı ya da düzenlemeye tabi bilgileri işleyen herhangi bir alanda çalışıyorsanız, SRG uyarısı hem dijital hem de fiziksel güvenlik duruşunuzu gözden geçirmenizi gerektiriyor. İşte başlangıç noktaları:

Ziyaretçi erişim protokollerini denetleyin. Organizasyonunuzun, planlanmamış BT ziyaretlerini doğrulamak için resmi bir süreci var mı? Cevap hayır veya net değilse, bu boşluğun derhal kapatılması gerekir.
Cihaz kilitleme ve kimlik doğrulama politikalarını gözden geçirin. Belirli bir süre kullanılmadığında otomatik olarak kilitlenen ve devam etmek için kimlik bilgisi isteyen cihazlar, fiziksel bir saldırgan için fırsat penceresini önemli ölçüde azaltır.
Personeli fiziksel sosyal mühendisliğe karşı eğitin. Ekibinizle, birinin tedarikçi veya BT yüklenicisi gibi davrandığı senaryoları canlandırın. Erişim vermeden önce doğrulama alışkanlığını pekiştirin.
Veri erişim modelinizi değerlendirin. En az ayrıcalık ilkelerini uygulayarak, bir iş istasyonu ele geçirilse bile saldırganın yalnızca o belirli kullanıcı hesabının normalde işlediği verilere erişebilmesini sağlayın.
Uzaktan erişim politikalarınızı da kontrol edin. Fiziksel güvenlik ve dijital erişim kontrolleri birlikte çalışır. Birini diğerini gözden geçirmeden ele almak boşluklar bırakır.

FBI'ın Silent Ransom Group hakkındaki uyarısı, etkili güvenliğin tehditleri üç boyutta düşünmeyi gerektirdiğini hatırlatıyor: ağ, cihaz ve fiziksel ortam. Hassas sektörlerdeki profesyoneller için, mevcut protokollerinizin ön kapıdan içeri aitmiş gibi görünen birini gerçekten durdurup durduramayacağını değerlendirmenin tam zamanı.