Silent Ransom Group atakuje kancelarie prawne: wymuszenia bez szyfrowania i rosnące znaczenie dostępu fizycznego - Security Bez Tabu

Silent Ransom Group atakuje kancelarie prawne: wymuszenia bez szyfrowania i rosnące znaczenie dostępu fizycznego

Cybersecurity news

Wprowadzenie do problemu / definicja

Silent Ransom Group to cyberprzestępcza grupa specjalizująca się w wymuszeniach opartych przede wszystkim na kradzieży danych, a nie na klasycznym szyfrowaniu systemów ofiary. W najnowszych kampaniach operatorzy koncentrują się na kancelariach prawnych, wykorzystując socjotechnikę, podszywanie się pod pracowników wsparcia IT oraz w wybranych przypadkach także próbę uzyskania fizycznego dostępu do urządzeń.

To istotna zmiana w krajobrazie zagrożeń. Atakujący nie muszą dziś blokować działania infrastruktury, aby wywrzeć silną presję na organizacji. Wystarczy przejąć wrażliwe informacje i zagrozić ich ujawnieniem, sprzedażą lub wykorzystaniem w dalszych działaniach wymuszeniowych.

W skrócie

Grupa znana również jako Luna Moth, Chatty Spider i UNC3753 prowadzi kampanie wymierzone w podmioty przetwarzające dane o wysokiej wartości biznesowej i reputacyjnej. W przypadku kancelarii prawnych kluczowym celem są dokumenty objęte tajemnicą zawodową, materiały procesowe, dane klientów oraz informacje dotyczące transakcji i sporów.

  • atak rozpoczyna się zwykle od telefonu lub wiadomości e-mail podszywającej się pod wsparcie techniczne,
  • celem jest nakłonienie ofiary do uruchomienia sesji zdalnej lub wykonania określonych czynności,
  • po uzyskaniu dostępu napastnicy koncentrują się na szybkiej eksfiltracji danych,
  • w części przypadków pojawia się także element fizycznego dostępu do komputera ofiary.

Kontekst / historia

Silent Ransom Group jest obserwowana od kilku lat i wcześniej była łączona z kampaniami uderzającymi w różne branże, w tym sektor finansowy, ubezpieczeniowy i ochronę zdrowia. Model działania tej grupy ewoluował od szerzej zakrojonych oszustw socjotechnicznych do bardziej precyzyjnych operacji ukierunkowanych na konkretne organizacje i konkretne typy danych.

Kancelarie prawne są szczególnie atrakcyjnym celem. Przechowują duże wolumeny informacji poufnych, a jednocześnie działają pod presją terminów, zobowiązań kontraktowych oraz wymogów zachowania tajemnicy zawodowej. Dla przestępców oznacza to większą szansę na skuteczne wymuszenie i szybszą reakcję ofiary na groźbę publikacji danych.

Analiza techniczna

Techniczny rdzeń kampanii nie opiera się na zaawansowanych exploitach, lecz na skutecznym obchodzeniu procedur bezpieczeństwa przy użyciu manipulacji użytkownikiem. Atakujący podają się za personel IT i próbują przekonać pracownika do uruchomienia narzędzia zdalnego dostępu, wykonania określonej konfiguracji albo zaakceptowania rzekomej czynności serwisowej.

Po przejęciu dostępu działania są ograniczane do minimum niezbędnego do rozpoznania zasobów i kopiowania danych. Zamiast wdrażać malware o wysokiej wykrywalności, sprawcy chętnie sięgają po legalne narzędzia administracyjne i aplikacje używane do transferu plików. W opisywanych kampaniach wskazywano m.in. WinSCP oraz ukryte lub zmodyfikowane instancje Rclone, które umożliwiają przesyłanie danych do usług chmurowych i zewnętrznych repozytoriów.

Najbardziej niepokojącym elementem jest scenariusz, w którym sprawca lub współpracownik grupy pojawia się fizycznie w lokalizacji ofiary. Pod pretekstem kopii zapasowej, działań serwisowych albo reakcji na incydent phishingowy może próbować uzyskać dostęp do stacji roboczej i podłączyć nośnik zewnętrzny w celu lokalnego skopiowania danych. Taka technika ogranicza widoczność ruchu sieciowego i może utrudnić detekcję przez standardowe mechanizmy bezpieczeństwa.

Model ten wpisuje się w trend data theft extortion, czyli wymuszeń opartych na eksfiltracji danych bez etapu szyfrowania. Z perspektywy obrony to poważne wyzwanie, ponieważ brak masowego szyfrowania plików oznacza mniej oczywistych objawów incydentu, a użycie legalnych narzędzi utrudnia wykrywanie oparte wyłącznie na sygnaturach złośliwego oprogramowania.

Konsekwencje / ryzyko

Dla kancelarii prawnych skutki takiego ataku mogą być wyjątkowo dotkliwe. Najpoważniejsze ryzyka obejmują utratę poufności danych klientów, naruszenie tajemnicy zawodowej, ujawnienie strategii procesowych, ekspozycję dokumentów korporacyjnych oraz potencjalne konsekwencje regulacyjne związane z ochroną danych osobowych.

Istotne jest również ryzyko operacyjne i reputacyjne. Nawet jeśli infrastruktura nie zostanie zaszyfrowana, sama groźba upublicznienia dokumentów może sparaliżować pracę organizacji, wpłynąć na relacje z klientami i uruchomić kosztowne procedury kryzysowe. Dodatkowo telefoniczne naciski na pracowników lub klientów po eksfiltracji danych mogą zwiększać presję psychologiczną i eskalować skalę zdarzenia.

  • utrata kontroli nad dokumentacją objętą tajemnicą zawodową,
  • ryzyko naruszeń regulacyjnych i obowiązków notyfikacyjnych,
  • poważne straty reputacyjne i utrata zaufania klientów,
  • trudniejsza detekcja incydentu ze względu na brak klasycznego szyfrowania,
  • połączenie zagrożenia cybernetycznego i fizycznego.

Rekomendacje

Organizacje z sektora prawnego powinny traktować ten typ kampanii jako połączenie ryzyka cyfrowego, proceduralnego i fizycznego. Kluczowe znaczenie ma rygorystyczna weryfikacja tożsamości każdej osoby podającej się za pracownika IT, niezależnie od tego, czy kontakt odbywa się telefonicznie, mailowo czy osobiście.

W praktyce warto wdrożyć zestaw środków ograniczających zarówno możliwość przejęcia dostępu, jak i skutecznej eksfiltracji danych:

  • stosowanie phishing-resistant MFA wszędzie tam, gdzie to możliwe,
  • ograniczenie i ścisłą kontrolę narzędzi zdalnego wsparcia,
  • blokowanie lub silne ograniczanie użycia nośników USB na stacjach z dostępem do danych wrażliwych,
  • monitorowanie uruchomień narzędzi takich jak Rclone, WinSCP i podobnych aplikacji transferowych,
  • wykrywanie połączeń do niezaufanych usług przechowywania danych i nietypowych kanałów eksfiltracji,
  • szkolenia personelu z rozpoznawania scenariuszy podszywania się pod helpdesk,
  • integrację procedur SOC z ochroną fizyczną, recepcją i personelem administracyjnym,
  • przygotowanie playbooków reagowania na incydenty bez szyfrowania, skoncentrowanych na kradzieży danych.

Dodatkowo warto regularnie analizować logi endpointów, systemów IAM i narzędzi EDR pod kątem nieautoryzowanych sesji zdalnych, nowych instalacji aplikacji administracyjnych oraz prób użycia pamięci masowych. W środowiskach o wysokiej wrażliwości danych uzasadnione jest także wdrożenie rozwiązań DLP oraz segmentacji dostępu do repozytoriów dokumentów.

Podsumowanie

Kampania Silent Ransom Group pokazuje, że współczesne wymuszenia nie wymagają szyfrowania infrastruktury, aby były skuteczne. Kradzież danych, presja reputacyjna i dobrze przygotowana socjotechnika wystarczą, by znacząco zwiększyć ryzyko biznesowe ofiary.

Szczególnie alarmujący jest element fizycznego pojawiania się sprawców w siedzibie organizacji, ponieważ rozszerza on model zagrożenia poza klasyczne granice cyberbezpieczeństwa. Dla kancelarii prawnych oznacza to konieczność spójnego podejścia do ochrony danych, kontroli tożsamości użytkowników, monitoringu eksfiltracji i bezpieczeństwa fizycznego.

Źródła

  • Dark Reading: https://www.darkreading.com/cyberattacks-data-breaches/ransomware-actors-steal-law-firm-data
  • FBI Internet Crime Complaint Center: https://www.ic3.gov/
  • Halcyon Ransomware Research Center: https://www.halcyon.ai/
  • Verizon Data Breach Investigations Report 2026: https://www.verizon.com/business/resources/reports/dbir/