Silent Ransom Group podszywa się pod dział IT i przechodzi do ataków fizycznych

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Silent Ransom Group (SRG), identyfikowana również jako Luna Moth, Chatty Spider oraz UNC3753, to grupa cyberprzestępcza koncentrująca się przede wszystkim na kradzieży danych i późniejszym wymuszeniu, a nie na klasycznym szyfrowaniu systemów ofiar. Najnowsze obserwacje pokazują istotną zmianę taktyki: oprócz phishingu zwrotnego i nadużywania legalnych narzędzi zdalnego dostępu operatorzy coraz częściej podszywają się pod pracowników wsparcia IT, a w wybranych przypadkach próbują uzyskać także fizyczny dostęp do urządzeń w siedzibie organizacji.

To podejście przesuwa ciężar ataku z warstwy czysto technicznej na połączenie socjotechniki, nadużycia procesów wewnętrznych oraz słabości w obszarze bezpieczeństwa fizycznego. Dla firm i instytucji oznacza to konieczność szerszego spojrzenia na obronę przed incydentami związanymi z eksfiltracją danych.

W skrócie

Silent Ransom Group działa co najmniej od 2022 roku i specjalizuje się w kradzieży danych oraz szantażu.
Grupa historycznie wykorzystywała callback phishing oraz legalne narzędzia zdalnego dostępu, aby uzyskać interaktywny dostęp do stacji roboczych.
W najnowszych kampaniach napastnicy podszywają się pod personel IT i w razie niepowodzenia ataku zdalnego mogą próbować uzyskać fizyczny dostęp do urządzeń.
Na celowniku znajdują się szczególnie kancelarie prawne, ale ostrzeżenia obejmują również sektor ochrony zdrowia, finansów i ubezpieczeń.
Największym ryzykiem jest cicha eksfiltracja danych, która przez długi czas może pozostać niezauważona.

Kontekst / historia

SRG rozwinęła swoją działalność na bazie kampanii opartych na socjotechnice, które pozwalały uzyskać dostęp do środowisk korporacyjnych bez stosowania klasycznego złośliwego oprogramowania. Od 2022 roku grupa była wielokrotnie wiązana z atakami na organizacje w Stanach Zjednoczonych, zwłaszcza kancelarie prawne i podmioty operujące na informacjach o wysokiej wrażliwości.

W przeciwieństwie do tradycyjnych gangów ransomware, które blokują dostęp do systemów przez szyfrowanie, SRG przyjęła model data theft and extortion. Jest on szczególnie skuteczny wobec organizacji, dla których sam wyciek dokumentów, korespondencji lub danych klientów może oznaczać dotkliwe skutki regulacyjne, prawne i reputacyjne.

Nowy etap działalności grupy pokazuje, że operatorzy dostosowują taktykę do rosnącej skuteczności zabezpieczeń zdalnego dostępu. Jeżeli pracownik nie da się przekonać do uruchomienia sesji wsparcia albo organizacja blokuje nieautoryzowane narzędzia, przestępcy próbują obejść te zabezpieczenia przez bezpośredni kontakt i obecność w biurze.

Analiza techniczna

Typowy łańcuch ataku rozpoczyna się od wiadomości e-mail lub telefonu, którego celem jest skłonienie ofiary do kontaktu z rzekomym działem pomocy technicznej. W wielu przypadkach stosowany jest model callback phishing, w którym użytkownik otrzymuje komunikat o fałszywej subskrypcji, problemie technicznym lub konieczności pilnej interwencji, a następnie zostaje nakłoniony do uruchomienia legalnego narzędzia zdalnego wsparcia.

Po uzyskaniu dostępu napastnicy zwykle nie koncentrują się na długotrwałej obecności w środowisku. Zamiast tego starają się szybko zidentyfikować cenne zasoby i przystąpić do eksfiltracji danych. W tym celu wykorzystują narzędzia administracyjne oraz popularne aplikacje transferowe, takie jak WinSCP, przenośne klienty kopiowania plików czy ukryte albo przemianowane warianty narzędzi pokroju Rclone. Taki model działania utrudnia wykrycie, ponieważ ruch sieciowy i aktywność na stacji roboczej mogą przypominać legalne działania administratora.

Najbardziej niepokojącym elementem najnowszych kampanii jest wariant zakładający fizyczne pojawienie się w lokalizacji ofiary. Osoba podająca się za pracownika IT może próbować uzyskać dostęp do komputera pod pretekstem rozwiązania incydentu, diagnostyki urządzenia albo weryfikacji zgłoszenia. W praktyce pozwala to na podłączenie nośnika USB lub dysku zewnętrznego i lokalne skopiowanie danych bądź uruchomienie narzędzi wspierających dalszą eksfiltrację.

Technicznie jest to atak wykorzystujący living off the land oraz nadużycie zaufania organizacyjnego. Minimalne użycie klasycznych implantów malware oznacza mniej oczywistych wskaźników kompromitacji. Jeśli środowisko dopuszcza zdalne narzędzia wsparcia albo nie monitoruje urządzeń wymiennych, wykrycie incydentu na wczesnym etapie staje się znacznie trudniejsze.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem działań SRG nie jest niedostępność systemów, lecz utrata poufności informacji. Organizacja może przez długi czas nie zdawać sobie sprawy z naruszenia, ponieważ brak szyfrowania i brak widocznych zakłóceń operacyjnych obniżają szansę szybkiego wykrycia incydentu.

Szczególnie narażone są branże przechowujące informacje objęte tajemnicą zawodową lub regulacjami. W kancelariach prawnych ryzyko dotyczy dokumentacji klientów, materiałów procesowych, danych transakcyjnych i poufnej korespondencji. W ochronie zdrowia stawką są dane medyczne, a w sektorach finansowym i ubezpieczeniowym także informacje tożsamościowe, regulowane oraz kontraktowe.

Nowy komponent fizyczny rozszerza powierzchnię ataku poza klasyczne granice cyberbezpieczeństwa. Nawet organizacje dysponujące dojrzałym EDR, MFA i monitoringiem sieci mogą pozostać podatne, jeśli nie mają skutecznych procedur weryfikacji personelu technicznego, rejestrowania wizyt oraz kontroli dostępu do przestrzeni biurowych.

Rekomendacje

Podstawowym krokiem obronnym powinno być wdrożenie formalnych procedur uwierzytelniania komunikacji działu IT z użytkownikami. Każde niezamówione połączenie, e-mail lub wizyta osoby podającej się za wsparcie techniczne powinny być obowiązkowo potwierdzane niezależnym kanałem komunikacji. Pracownicy muszą wiedzieć, że bez wcześniej zarejestrowanego zgłoszenia nie należy instalować narzędzi zdalnych ani udostępniać stanowiska pracy.

Równie ważne jest ograniczenie i ścisłe monitorowanie użycia narzędzi zdalnego dostępu oraz aplikacji transferu plików. Jeżeli rozwiązania tego typu są dopuszczone biznesowo, powinny być objęte centralnym logowaniem, listą dopuszczeń, kontrolą uprawnień i alertowaniem na nietypowe użycie.

Organizacje powinny również wdrożyć kontrole urządzeń wymiennych, w tym blokowanie niezaufanych nośników USB, monitorowanie montowania dysków zewnętrznych oraz alarmowanie o masowym kopiowaniu danych. W środowiskach podwyższonego ryzyka uzasadnione może być całkowite wyłączenie nieautoryzowanych nośników pamięci masowej.

W obszarze bezpieczeństwa fizycznego konieczne są procedury eskortowania gości, obowiązkowa identyfikacja personelu technicznego, rejestracja wizyt serwisowych oraz zakaz pozostawiania osób postronnych sam na sam ze stacjami roboczymi. Szkolenia powinny obejmować nie tylko cyberhigienę, lecz także rozpoznawanie pretekstingu i prób podszywania się pod helpdesk.

Monitorowanie nowych lub nietypowych instalacji narzędzi zdalnego wsparcia.
Wykrywanie uruchomień WinSCP, Rclone i ich przemianowanych wariantów.
Analiza połączeń zewnętrznych powiązanych z masowym odczytem plików.
Alertowanie o podłączeniu nośników USB na stacjach użytkowników.
Korelacja nietypowych zgłoszeń do helpdesku z aktywnością na endpointach.

Plan reagowania na incydenty powinien uwzględniać scenariusz bez szyfrowania, ale z możliwą eksfiltracją. Oznacza to potrzebę szybkiego zabezpieczenia logów, analizy transferów danych, oceny obowiązków notyfikacyjnych oraz przygotowania komunikacji kryzysowej wobec klientów i partnerów.

Podsumowanie

Silent Ransom Group pokazuje, że współczesne operacje wymuszeniowe coraz częściej opierają się na socjotechnice, legalnych narzędziach administracyjnych i wykorzystaniu zaufania użytkowników zamiast klasycznego malware szyfrującego. Rozszerzenie działań o komponent fizyczny stanowi ważny sygnał ostrzegawczy dla zespołów bezpieczeństwa, ponieważ łączy ryzyka cybernetyczne z lukami proceduralnymi i organizacyjnymi.

Skuteczna obrona przed tego typu kampaniami wymaga połączenia kontroli technicznych, zasad operacyjnych i środków bezpieczeństwa fizycznego. Sama ochrona endpointów nie wystarczy, jeśli organizacja nie potrafi zweryfikować, kto i na jakiej podstawie uzyskuje dostęp do urządzeń użytkowników.