Silent Ransom Group wzmacnia operacje dzięki DNS Fast Flux i utrudnia blokowanie ataków - Security Bez Tabu

Silent Ransom Group wzmacnia operacje dzięki DNS Fast Flux i utrudnia blokowanie ataków

Cybersecurity news

Wprowadzenie do problemu

Silent Ransom Group, znana również jako Luna Moth, Chatty Spider oraz UNC3753, to grupa cyberprzestępcza specjalizująca się w kradzieży danych i wymuszeniach opartych na groźbie ich ujawnienia. Zamiast klasycznego szyfrowania środowiska ofiary napastnicy koncentrują się na cichej eksfiltracji informacji, a następnie wykorzystują je do presji finansowej i reputacyjnej.

Najnowsze ustalenia wskazują, że grupa rozwija swoje zaplecze techniczne poprzez wykorzystanie infrastruktury DNS Fast Flux. To mechanizm szybkiej rotacji rekordów DNS i adresów IP, który utrudnia identyfikację, analizę oraz skuteczne blokowanie zasobów używanych w kampaniach przestępczych.

W skrócie

  • Silent Ransom Group rozszerza operacje o infrastrukturę Fast Flux, aby zwiększyć odporność swoich usług.
  • Grupa działa co najmniej od 2022 roku i koncentruje się na modelu data extortion.
  • Na celowniku pozostają przede wszystkim kancelarie prawne, a także sektor finansowy, ubezpieczeniowy, hotelarski i ochrony zdrowia.
  • Węzły infrastruktury są rozproszone geograficznie i prawdopodobnie bazują na przejętych urządzeniach IoT oraz sprzęcie brzegowym.
  • Połączenie socjotechniki i odpornej infrastruktury DNS zwiększa skuteczność oraz utrudnia reakcję obronną.

Kontekst i historia

Silent Ransom Group od kilku lat rozwija model działania oparty na wymuszeniach związanych z wyciekiem danych. W praktyce oznacza to odejście od typowego ransomware na rzecz operacji, w których kluczową rolę odgrywa pozyskanie poufnych dokumentów, korespondencji i danych biznesowych o wysokiej wartości.

Taki model jest atrakcyjny dla przestępców, ponieważ zmniejsza zależność od złośliwego oprogramowania o wysokiej wykrywalności. Zamiast tego napastnicy częściej wykorzystują legalne narzędzia administracyjne, zdalny dostęp, vishing, podszywanie się pod wsparcie IT oraz manipulację personelem. Szczególnie narażone są organizacje przetwarzające informacje objęte tajemnicą zawodową lub regulacyjną.

W przypadku tej grupy istotny jest także dobór ofiar. Kancelarie prawne pozostają atrakcyjnym celem ze względu na dostęp do dokumentacji klientów, danych transakcyjnych, materiałów dowodowych i informacji poufnych. Równocześnie pojawiają się sygnały o rozszerzaniu taktyki o działania wymagające bezpośredniego kontaktu z ofiarą, co zwiększa ryzyko skutecznego obejścia standardowych zabezpieczeń technicznych.

Analiza techniczna

Fast Flux to technika ukrywania infrastruktury polegająca na częstej zmianie rekordów DNS powiązanych z jedną domeną. W efekcie ta sama nazwa może w krótkich odstępach czasu wskazywać na wiele różnych adresów IP, często należących do hostów pośredniczących. Dla zespołów bezpieczeństwa oznacza to większe trudności w korelacji incydentów, blokowaniu ruchu i budowaniu trwałych wskaźników kompromitacji.

W praktyce taka architektura daje napastnikom kilka przewag. Po pierwsze zwiększa dostępność paneli zarządzania, zaplecza do eksfiltracji danych i elementów wspierających strony wyciekowe. Po drugie ogranicza skuteczność prostych blacklist i ręcznego blokowania pojedynczych adresów IP. Po trzecie ułatwia szybkie odtwarzanie zasobów po częściowym wyłączeniu infrastruktury przez operatorów lub dostawców usług bezpieczeństwa.

Dodatkowym elementem obserwowanym w tym przypadku jest stosowanie mechanizmów utrudniających indeksowanie strony wyciekowej, w tym tokenów X-CSRF. Choć są one powszechnie wykorzystywane do ochrony aplikacji webowych, tutaj pełnią także funkcję ograniczającą widoczność zasobów dla automatycznych crawlerów i systemów analitycznych. To pokazuje, że grupa inwestuje nie tylko w odporność warstwy sieciowej, ale również aplikacyjnej.

Charakterystyczną cechą infrastruktury Fast Flux jest też wykorzystanie przejętych urządzeń o niskim poziomie ochrony. Mogą to być routery, modemy, bramy dostępowe i inne urządzenia IoT lub CPE. Taki sprzęt jest dla cyberprzestępców atrakcyjny, ponieważ działa stale, często posiada publiczną ekspozycję sieciową, jest rozproszony geograficznie i zwykle nie jest objęty zaawansowanym monitoringiem bezpieczeństwa.

Konsekwencje i ryzyko

Przejście na model Fast Flux istotnie zwiększa złożoność detekcji i reakcji. Organizacje mogą obserwować krótkotrwałe połączenia do wielu pozornie niespowiązanych hostów, które w rzeczywistości stanowią jedną infrastrukturę operacyjną. W takim scenariuszu tradycyjne podejście oparte na pojedynczych wskaźnikach staje się niewystarczające.

Dla kancelarii prawnych, instytucji finansowych, firm ubezpieczeniowych oraz podmiotów ochrony zdrowia ryzyko jest szczególnie wysokie. Utrata poufnych danych może prowadzić do szkód reputacyjnych, roszczeń klientów, obowiązków notyfikacyjnych i wielomiesięcznych kosztów związanych z obsługą incydentu. W modelu stosowanym przez Silent Ransom Group najpoważniejszym zagrożeniem nie musi być niedostępność systemów, lecz niezauważona kradzież informacji i późniejszy szantaż.

Niebezpieczne jest również połączenie technik niskotechnicznych z odporną infrastrukturą sieciową. Nawet organizacje posiadające dojrzałe systemy ochrony przed malware mogą pozostać podatne, jeśli słabszym ogniwem są procedury weryfikacji tożsamości, bezpieczeństwo fizyczne lub analiza ruchu DNS. To przesuwa ciężar obrony z samego wykrywania złośliwego kodu na szersze zarządzanie ryzykiem operacyjnym.

Rekomendacje

Organizacje powinny rozszerzyć monitoring o analitykę DNS, zwłaszcza pod kątem krótkich wartości TTL, częstej rotacji rekordów A oraz wzorców ruchu wskazujących na fast-flux hosting. Istotne jest także korelowanie danych z resolverów DNS, firewalli, systemów proxy, telemetryki endpointów i pasywnego DNS.

  • wdrożenie rygorystycznych procedur weryfikacji zgłoszeń do działu IT i potwierdzanie ich niezależnym kanałem,
  • ograniczenie możliwości uruchamiania nieautoryzowanych narzędzi zdalnego dostępu,
  • segmentacja sieci i separacja systemów przetwarzających najbardziej wrażliwe dane,
  • egzekwowanie MFA dla dostępu zdalnego i administracyjnego,
  • monitorowanie transferów danych do nośników wymiennych oraz usług zewnętrznych,
  • detekcja nietypowych zmian DNS i komunikacji do nowych lub niskoreputacyjnych domen,
  • regularna inwentaryzacja oraz aktualizacja routerów, modemów, urządzeń brzegowych i zasobów IoT.

Warto także przygotować scenariusze reagowania na incydenty obejmujące eksfiltrację danych bez szyfrowania systemów. Wiele organizacji nadal buduje procedury głównie wokół klasycznego ransomware, podczas gdy aktywność takich grup wymaga większego nacisku na wykrywanie kradzieży danych, użycia legalnych narzędzi administracyjnych oraz śladów pozostawianych w warstwie DNS.

Podsumowanie

Silent Ransom Group rozwija swoje możliwości operacyjne, łącząc skuteczną socjotechnikę z odporną infrastrukturą DNS Fast Flux. To kolejny sygnał, że współczesne operacje wymuszeń coraz częściej odchodzą od głośnego szyfrowania systemów na rzecz cichej eksfiltracji danych i szantażu.

Dla obrońców oznacza to konieczność jednoczesnej ochrony warstwy technicznej, procesowej i organizacyjnej. Same narzędzia antymalware nie wystarczą, jeśli przeciwnik potrafi ukryć swoje zaplecze w rozproszonej infrastrukturze DNS i wykorzystać człowieka jako główny wektor wejścia.

Źródła

  • https://securityaffairs.com/193215/cyber-crime/silent-ransom-group-srg-switching-to-dns-fast-flux-infrastructure.html
  • https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-093a
  • https://www.ic3.gov/CSA/2025/250403.pdf
  • https://cyberscoop.com/fbi-warning-silent-ransom-group-law-firms/
  • https://www.techradar.com/pro/security/hackers-are-turning-up-to-victims-work-dressed-as-it-support-to-install-malware-in-person-fbi-warns