Silent Ransom Group atakuje kancelarie prawne przez fałszywe zgłoszenia do IT

Wprowadzenie do problemu / definicja

Silent Ransom Group to cyberprzestępcza grupa specjalizująca się w ukierunkowanych kampaniach socjotechnicznych przeciwko kancelariom prawnym oraz firmom świadczącym usługi profesjonalne. Zamiast klasycznego modelu ransomware opartego na szyfrowaniu plików, napastnicy stawiają na szybkie przejęcie dostępu do środowiska ofiary, kradzież wrażliwych danych i wymuszenie zapłaty pod groźbą ich ujawnienia.

Charakterystycznym elementem tych operacji jest podszywanie się pod wewnętrzny helpdesk IT. Atakujący wykorzystują wiadomości phishingowe, rozmowy telefoniczne oraz zdalne sesje wsparcia technicznego, aby skłonić pracowników do samodzielnego uruchomienia narzędzi dających intruzom dostęp do systemów.

W skrócie

• Silent Ransom Group, znana także jako UNC3753, Luna Moth i Chatty Spider, koncentruje się na atakach na kancelarie prawne oraz firmy doradcze.
• Kampanie rozpoczynają się od wiadomości o tematyce faktur lub pilnych spraw biznesowych, a następnie przechodzą w kontakt telefoniczny podszywający się pod dział IT.
• Celem jest nakłonienie ofiary do uruchomienia zdalnej sesji i instalacji legalnych narzędzi administracyjnych.
• Po uzyskaniu dostępu grupa szybko eksfiltruje dokumenty i przechodzi do szantażu bez konieczności szyfrowania danych.
• Żądania okupu mogą pojawić się bardzo szybko, co znacząco skraca czas na wykrycie i reakcję.

Kontekst / historia

Kancelarie prawne od lat znajdują się w centrum zainteresowania cyberprzestępców. Wynika to z faktu, że przechowują dane o wyjątkowo wysokiej wartości: dokumenty transakcyjne, akta procesowe, informacje podatkowe, dane osobowe klientów, tajemnice handlowe oraz materiały związane z fuzjami i przejęciami. Taki profil danych zwiększa skuteczność szantażu, ponieważ skutki wycieku mogą wykraczać daleko poza sam incydent techniczny.

Obecna aktywność Silent Ransom Group wpisuje się w szerszy trend odchodzenia od tradycyjnego ransomware na rzecz modelu czystej eksfiltracji danych i presji reputacyjnej. Badacze wiążą stosowane techniki z wcześniejszymi kampaniami callback phishing oraz operacjami znanymi z ekosystemu BazarCall. Po rozpadzie części dawnych struktur cyberprzestępczych część aktorów zaczęła preferować szybsze i mniej hałaśliwe operacje, w których najważniejsze są socjotechnika, dostęp i natychmiastowa kradzież informacji.

Dodatkowym kontekstem są ostrzeżenia służb i firm bezpieczeństwa, które wskazują, że grupy tego typu poszerzają powierzchnię ataku nie tylko o e-mail i telefonię, ale również o działania wykorzystujące wiarygodnie wyglądającą infrastrukturę wsparcia technicznego oraz inne kanały kontaktu z ofiarą.

Analiza techniczna

Mechanizm ataku jest stosunkowo prosty, ale bardzo skuteczny. Operacja zwykle zaczyna się od wiadomości e-mail wysyłanej z prywatnych lub konsumenckich kont pocztowych. Taka wiadomość często nie zawiera złośliwego linku ani załącznika, dzięki czemu może ominąć część tradycyjnych filtrów bezpieczeństwa. Treść sugeruje problem wymagający reakcji, na przykład rzekomą fakturę, błąd rozliczeniowy albo pilne zgłoszenie.

Następny etap to rozmowa telefoniczna. Atakujący podają się za pracowników firmowego działu IT lub zewnętrznego partnera wsparcia technicznego. Ich celem jest wytworzenie presji oraz przekonanie użytkownika, że konieczne jest szybkie uruchomienie sesji zdalnego wsparcia. W praktyce ofiara sama inicjuje działania, które otwierają intruzom drogę do środowiska organizacji.

W trakcie takiej sesji użytkownik może zostać nakłoniony do instalacji legalnych narzędzi zdalnej administracji i wsparcia. W raportowanych przypadkach wykorzystywane są rozwiązania klasy RMM i remote support, takie jak AnyDesk, Zoho Assist, Bomgar czy SuperOps. To ważny element tej kampanii: napastnicy nie muszą instalować klasycznego malware, jeśli uda im się uzyskać autoryzowany przez użytkownika kanał dostępu, który z perspektywy części narzędzi bezpieczeństwa wygląda jak standardowa aktywność administracyjna.

Zaobserwowano także użycie domen i stron podszywających się pod firmowe portale helpdesk. Tego typu infrastruktura zwiększa wiarygodność ataku, zwłaszcza gdy pracownik jest już wcześniej przygotowany przez wiadomość e-mail lub rozmowę telefoniczną. Dodatkowo napastnicy mogą wykorzystywać usługi pozwalające na przekazywanie samoznikających wiadomości z instrukcjami, co ogranicza liczbę śladów pozostawionych po ataku.

Po uzyskaniu dostępu grupa szybko przystępuje do identyfikacji najbardziej wartościowych zasobów. Priorytetem są repozytoria dokumentów, zasoby chmurowe, systemy zarządzania dokumentacją oraz foldery zawierające kontrakty, dane podatkowe, dokumenty korporacyjne, numery identyfikacyjne i materiały związane z transakcjami M&A. Do eksfiltracji wykorzystywane są m.in. narzędzia takie jak WinSCP i Rclone, co dodatkowo utrudnia odróżnienie aktywności przestępczej od legalnych operacji administracyjnych.

Kluczową cechą tej kampanii jest tempo działania. Od pierwszego kontaktu socjotechnicznego do kradzieży danych i pojawienia się żądania okupu może minąć zaledwie kilka godzin. To bardzo krótkie okno detekcji, które wymaga szybkiej korelacji sygnałów z poczty, telefonii, EDR, usług chmurowych i systemów dostępowych.

Konsekwencje / ryzyko

Dla kancelarii prawnych i firm usług profesjonalnych ryzyko jest szczególnie wysokie. Przechowywane przez nie dane mają dużą wartość strategiczną, biznesową i dowodową, a jednocześnie są objęte wysokimi wymaganiami poufności. Wyciek może prowadzić nie tylko do strat operacyjnych, ale również do poważnych szkód reputacyjnych i sporów prawnych.

Skutki incydentu mogą obejmować ujawnienie dokumentów klientów, kompromitację tajemnic handlowych, wyciek materiałów dotyczących transakcji, naruszenie obowiązków regulacyjnych oraz utratę zaufania ze strony kontrahentów. Dodatkową presję wywierają krótkie terminy na odpowiedź i groźby kontaktu z klientami lub pracownikami ofiary.

Z perspektywy obrony szczególnie niebezpieczne jest to, że duża część działań napastników wykorzystuje legalne narzędzia oraz procesy przypominające zwykłe wsparcie IT. Jeśli organizacja nie monitoruje dokładnie uruchamiania sesji zdalnych, instalacji narzędzi RMM, nietypowych transferów danych i masowego dostępu do dokumentów, atak może zostać wykryty zbyt późno.

Rekomendacje

Organizacje z sektora prawnego, finansowego i profesjonalnego powinny przyjąć formalne procedury weryfikacji wszystkich działań związanych ze wsparciem IT. Każda prośba o instalację narzędzia zdalnego dostępu, uruchomienie sesji pomocy technicznej lub wykonanie nietypowej operacji administracyjnej powinna być potwierdzana niezależnym kanałem komunikacji.

• Wprowadzić zasadę oddzwaniania na oficjalny numer helpdesku zamiast kontynuowania rozmowy rozpoczętej przez nieznaną osobę.
• Ograniczyć instalację narzędzi RMM i remote support wyłącznie do zatwierdzonej listy aplikacji.
• Monitorować użycie narzędzi takich jak AnyDesk, Rclone, WinSCP i podobnych rozwiązań administracyjnych.
• Wdrożyć wieloskładnikowe uwierzytelnianie dla kont uprzywilejowanych oraz systemów dokumentowych i usług chmurowych.
• Segmentować dostęp do repozytoriów zawierających dane klientów i dokumenty wrażliwe.
• Uruchomić alerty dla nietypowych eksportów danych, masowych odczytów plików oraz niestandardowych połączeń do chmury.
• Szkolić pracowników z rozpoznawania vishingu, callback phishing i prób podszywania się pod wewnętrzny dział IT.
• Przygotować procedury reagowania na incydenty obejmujące szybkie odcięcie sesji zdalnej, blokadę kont, izolację hosta i analizę śladów eksfiltracji.

Dla zespołów bezpieczeństwa ważne jest także korelowanie telemetrii z wielu źródeł jednocześnie. Tego typu kampanie są wielokanałowe, dlatego analiza pojedynczego źródła logów zwykle nie wystarcza do pełnego rozpoznania incydentu.

Podsumowanie

Kampania Silent Ransom Group pokazuje, że współczesne wymuszenia coraz częściej rezygnują z szyfrowania danych na rzecz szybkiej eksfiltracji i presji reputacyjnej. Kancelarie prawne są dla takich grup szczególnie atrakcyjnym celem ze względu na koncentrację danych poufnych i wysokie koszty ujawnienia incydentu.

Choć technicznie atak nie musi być złożony, jego skuteczność wynika z dobrze przygotowanej socjotechniki, wykorzystania legalnych narzędzi administracyjnych oraz bardzo krótkiego czasu między uzyskaniem dostępu a próbą wymuszenia. Dlatego kluczowe znaczenie mają nie tylko zabezpieczenia techniczne, ale również dojrzałe procesy helpdesku, świadomość użytkowników i zdolność szybkiego wykrywania anomalii w dostępie do danych.

Źródła

1. Silent Ransom Group targets law firms with fake IT support calls — https://www.bleepingcomputer.com/news/security/silent-ransom-group-targets-law-firms-with-fake-it-support-calls/
2. Mandiant: Silent Ransom Group Targets U.S. Legal and Professional Services Firms — https://cloud.google.com/blog/topics/threat-intelligence/silent-ransom-group-targets-us-legal-and-professional-services-firms
3. FBI FLASH Advisory on Silent Ransom Group targeting U.S. law firms — https://www.ic3.gov/CSA/2026/260602
4. Resecurity research on Silent Ransom Group infrastructure — https://www.resecurity.com/blog/article/silent-ransom-group-leverages-fast-flux-infrastructure-to-evade-detection