ФБР попереджає: угруповання «Silent Ransom Group» фізично видає себе за ІТ-персонал юридичних фірм

ФБР попереджає: угруповання «Silent Ransom Group» фізично видає себе за ІТ-персонал юридичних фірм

ФБР випустило офіційне попередження про те, що зловмисник, відомий як «Silent Ransom Group» (SRG), націлюється на юридичні фірми, використовуючи поєднання соціальної інженерії та фізичних атак із видаванням себе за інших осіб. На відміну від більшості кібератак, що виконуються віддалено, оперативники SRG з’являються особисто, видаючи себе за ІТ-персонал, отримують фізичний доступ до офісних пристроїв, викрадають конфіденційні дані, а потім вимагають викуп. Для юристів, які вважають, що їхнього цифрового захисту достатньо, це попередження — серйозний сигнал тривоги.

Як Silent Ransom Group отримує фізичний доступ до мереж юридичних фірм

Механіка підходу SRG проста, але надзвичайно ефективна. Зловмисники проводять розвідку щодо цільової юридичної фірми, визначаючи персонал, офісні приміщення та ІТ-процеси. Потім вони особисто з’являються в офісі, видаючи себе за ІТ-спеціалістів або технічних підрядників. Проявляючи впевненість і обізнаність із середовищем фірми, вони переконують персонал надати доступ до комп’ютерів, серверів або інших мережевих пристроїв.

Отримавши доступ, група витягує дані безпосередньо з машин, до яких може фізично доторкнутися. Це можуть бути файли клієнтів, документи справ, фінансові записи або привілейована комунікація. Після викрадення даних жертвам надсилають вимоги про викуп з погрозою опублікувати або продати вкрадену інформацію, якщо платіж не буде здійснено.

Юридичні фірми є особливо привабливою мішенню в цій моделі. Вони зберігають величезні обсяги чутливих, привілейованих і часто конфіденційних даних клієнтів. Крім того, історично це установи, побудовані на довірі та професійних стосунках, через що працівники частіше виявляють увічливість до того, хто виглядає як офіційний представник.

Чому VPN та сегментація мережі не зупиняють того, хто вже перебуває в кімнаті

Більшість розмов про кібербезпеку зосереджена на віддалених загрозах: фішингові листи, підбір облікових даних, програми-вимагачі, доставлені через шкідливі посилання. Інструменти, які зазвичай впроваджують у відповідь — VPN, брандмауери та сегментація мережі — призначені для контролю того, який трафік входить і виходить із системи через інтернет. Вони практично не мають значення, коли зловмисник сидить за робочою станцією всередині будівлі.

Фізичні атаки з видаванням себе за співробітників, яких зазнають юридичні фірми від таких груп, як SRG, оминають кожен рівень захисту на основі мережі. Якщо комусь дали місце за увімкненим комп’ютером, багатофакторна автентифікація вже пройдена. Якщо він під’єднує USB-накопичувач або отримує доступ до спільної теки в локальній мережі, зашифровані тунелі між віддаленими користувачами не мають значення. Сегментація мережі може певною мірою обмежити латеральне переміщення, але вона не завадить доступу до того, що вже доступне з цього пристрою.

Це й становить основну проблему ставлення до кібербезпеки як до суто технічної дисципліни. Людська поведінка та фізичне середовище створюють поверхні атаки, на які жоден програмний продукт повноцінно не впливає. Той самий принцип стосується інсайдерських загроз і зловживання обліковими даними, як видно з випадків, коли контроль доступу обходиться не через складні злами, а через звичайну людську помилку або недбалість — модель, висвітлена в матеріалі про підрядника CISA, який виклав ключі AWS і паролі в публічному репозиторії GitHub.

Контроль на основі нульової довіри та фізичної безпеки, який реально пом’якшує цю загрозу

Архітектуру нульової довіри часто обговорюють у контексті віддаленого доступу, але її основний принцип прямо застосовний тут: ніколи не припускайте, що людина чи пристрій повинні мати доступ лише тому, що вони перебувають «на місці». Для фізичних середовищ це перетворюється на кілька конкретних практик.

По-перше, процедури перевірки відвідувачів і постачальників потрібно формалізувати та неухильно дотримуватися. Будь-яку особу, яка називає себе ІТ-підтримкою, слід перевірити незалежним каналом, перш ніж надати їй неконтрольований доступ до будь-якого пристрою. Це означає зателефонувати безпосередньо в ІТ-відділ за номером, який не надав цей відвідувач, і підтвердити, що візит був запланований.

По-друге, робочі станції та пристрої повинні вимагати повторної автентифікації після будь-якого періоду бездіяльності, і в ідеалі вони не повинні залишатися залогіненими в чутливі системи, коли залишаються без нагляду. Фізичні блокувальники портів або блокатори USB можуть запобігти несанкціонованій передачі даних із пристроїв, до яких отримали доступ без дозволу.

По-третє, має значення журналювання доступу на рівні пристрою. Якщо неавторизована особа все ж отримає доступ, сліди допоможуть визначити, що саме було взято, і обмежити масштаб майбутньої вимоги викупу.

Нарешті, навчання персоналу повинно прямо охоплювати сценарії фізичної соціальної інженерії, а не лише фішингові листи. Працівники юридичних фірм, особливо персонал на рецепції, повинні знати, що саме ввічливість і повага до позірної авторитетності є тими рисами, якими зловмисники маніпулюють.

Що це означає для вас: практичні кроки для професіоналів у чутливих галузях

Якщо ви працюєте в юриспруденції, фінансах, охороні здоров’я чи в будь-якій іншій сфері, яка оперує привілейованою чи регульованою інформацією, попередження щодо SRG повинно спонукати переглянути як ваш цифровий, так і фізичний стан безпеки. Ось з чого почати:

• Перевірте протоколи доступу для відвідувачів. Чи має ваша організація формальний процес перевірки незапланованих ІТ-візитів? Якщо відповідь «ні» або незрозуміла, цю прогалину слід закрити негайно.
• Перегляньте політики блокування пристроїв та автентифікації. Пристрої, які автоматично блокуються за бездіяльності та вимагають введення облікових даних для продовження роботи, значно звужують вікно можливостей для фізичного зловмисника.
• Навчіть персонал фізичній соціальній інженерії. Програйте з командою сценарії, в яких хтось видає себе за вендора або ІТ-підрядника. Відпрацюйте звичку перевіряти перед наданням доступу.
• Оцініть свою модель доступу до даних. Застосуйте принцип найменших привілеїв так, щоб навіть якщо робоча станція була скомпрометована, зловмисник не міг дістатися до даних поза межами того, що зазвичай обробляє цей обліковий запис користувача.
• Перевірте також політики віддаленого доступу. Фізична безпека та цифровий контроль доступу працюють разом. Перегляд одного без іншого залишає прогалини.

Попередження ФБР щодо Silent Ransom Group нагадує: ефективна безпека вимагає розглядати загрози у трьох вимірах — мережа, пристрій і саме приміщення. Для професіоналів у чутливих галузях зараз час оцінити, чи дійсно ваші поточні протоколи зупинять того, хто зайде через головний вхід, виглядаючи так, ніби він тут свій.