Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa UNC3753, znana również pod nazwami Silent Ransom Group, Luna Moth oraz Chatty Spider, prowadzi kampanię wymuszeń opartą przede wszystkim na kradzieży danych, a nie na szyfrowaniu systemów. Atakujący koncentrują się na organizacjach z sektorów usług profesjonalnych, prawnych i finansowych, wykorzystując połączenie socjotechniki głosowej, legalnych narzędzi administracyjnych oraz w wybranych przypadkach także fizycznego dostępu do biur ofiar.
To podejście pokazuje zmianę w krajobrazie zagrożeń: skuteczny cyberatak nie musi dziś opierać się na malware czy exploicie. Wystarczy przekonać pracownika do uruchomienia zdalnej sesji, zainstalowania autoryzowanego narzędzia i udostępnienia środowiska, w którym znajdują się cenne dane.
W skrócie
UNC3753 rozpoczyna działania od wiadomości e-mail o pozornie neutralnej tematyce, takiej jak faktury, migracja danych czy kwestie administracyjne. Następnie operatorzy kontaktują się telefonicznie, podszywając się pod dział wsparcia IT, i nakłaniają pracownika do uruchomienia współdzielenia ekranu lub instalacji narzędzi zdalnego dostępu.
- Atak wykorzystuje vishing i callback phishing.
- Napastnicy instalują legalne narzędzia RMM i zdalnej pomocy.
- Celem jest szybka eksfiltracja danych z systemów lokalnych, sieciowych i chmurowych.
- W części incydentów odnotowano również próby fizycznego wejścia do biur i kopiowania danych na nośniki USB.
- Model działania skupia się na wymuszeniu po kradzieży danych, bez konieczności szyfrowania infrastruktury.
Kontekst / historia
Kampania obserwowana w 2026 roku wpisuje się w szerszy trend ewolucji grup powiązanych z oszustwami typu callback phishing i operacjami znanymi z ekosystemu BazarCall. W przypadku UNC3753 widoczne jest dalsze odejście od klasycznego ransomware na rzecz modelu extortion-only, w którym najważniejszym zasobem stają się skradzione dokumenty, a nie zablokowane systemy.
Takie podejście jest szczególnie skuteczne wobec kancelarii prawnych, firm doradczych, podmiotów obsługujących audyty, transakcje, podatki i dokumentację regulacyjną. Organizacje te przechowują duże wolumeny danych klientów, dokumentów finansowych, materiałów objętych tajemnicą zawodową oraz informacji o wysokiej wartości biznesowej, co czyni je atrakcyjnym celem dla operatorów wymuszeń.
Znacząca zmiana polega także na tym, że napastnicy nie muszą utrzymywać długiej obecności w środowisku. W wielu przypadkach wystarczy krótki, dobrze zaplanowany łańcuch ataku, aby zebrać dane i przejść do etapu presji finansowej.
Analiza techniczna
Łańcuch ataku rozpoczyna się od prostych wiadomości e-mail, które nie zawsze zawierają złośliwe załączniki czy linki. Dzięki temu mogą łatwiej ominąć klasyczne systemy ochrony poczty. Ich zadaniem jest stworzenie wiarygodnego pretekstu i przygotowanie ofiary na dalszy kontakt.
Kolejnym etapem jest rozmowa telefoniczna, w której atakujący podszywa się pod pracownika działu IT. Ofiara jest instruowana, aby dołączyła do sesji przez platformy komunikacyjne lub narzędzia pomocy zdalnej, takie jak Zoom, Microsoft Teams czy Quick Assist. Następnie użytkownik zostaje nakłoniony do instalacji legalnego oprogramowania administracyjnego, między innymi AnyDesk, Bomgar, SuperOps RMM lub Zoho Assist.
Ta technika jest szczególnie skuteczna, ponieważ wykorzystuje narzędzia uznawane za legalne i powszechnie stosowane w środowiskach biznesowych. Z perspektywy systemów bezpieczeństwa ruch może wyglądać jak autoryzowane działanie użytkownika i personelu IT. Napastnicy zyskują interaktywny dostęp bez potrzeby użycia malware loaderów, exploitów czy podatności zero-day.
Po uzyskaniu dostępu operatorzy szybko przechodzą do rozpoznania środowiska. Przeszukiwane są katalogi lokalne, dyski sieciowe, repozytoria dokumentów, zasoby chmurowe oraz środowiska VDI. W niektórych scenariuszach wykorzystywano również prywatne urządzenia pracowników do uzyskania dostępu do firmowych pulpitów wirtualnych. Szczególnie poszukiwane są dokumenty dotyczące klientów, umów, podatków, audytów, danych identyfikacyjnych i informacji finansowych.
Eksfiltracja danych odbywa się z użyciem narzędzi takich jak WinSCP, Rclone czy kontrolowane przez atakujących skrzynki e-mail. W części incydentów cały proces, od pierwszego kontaktu do żądania okupu, zamykał się w jednym dniu roboczym, a samo przygotowanie danych do kradzieży rozpoczynało się w mniej niż godzinę od uzyskania dostępu.
Badacze wskazują również na wykorzystanie infrastruktury utrudniającej blokowanie zaplecza operacyjnego, w tym mechanizmów Fast Flux. Dynamiczne zmiany rekordów DNS i krótki czas TTL zwiększają odporność infrastruktury na blacklistowanie, przejęcie domen i działania typu sinkhole.
Najbardziej alarmującym elementem kampanii są jednak przypadki fizycznych wtargnięć. W wybranych incydentach sprawcy mieli pojawiać się osobiście w lokalizacjach ofiar, podszywając się pod techników IT i próbując kopiować dane na zewnętrzne nośniki USB. To oznacza, że granica między incydentem cyberbezpieczeństwa a naruszeniem bezpieczeństwa fizycznego zaczyna się zacierać.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takich działań jest utrata poufności danych. W przeciwieństwie do tradycyjnych ataków ransomware kopie zapasowe nie rozwiązują głównego problemu, jeśli kluczowe dokumenty zostały już skradzione i mogą zostać wykorzystane do wywierania presji, publikacji lub kontaktu z klientami ofiary.
Dla kancelarii prawnych, firm finansowych i podmiotów świadczących usługi doradcze oznacza to ryzyko naruszenia tajemnicy zawodowej, odpowiedzialności kontraktowej, konieczności notyfikacji incydentu, sporów prawnych oraz poważnych strat reputacyjnych. Dodatkowo bardzo krótki czas operacyjny utrudnia reakcję zespołów SOC i IR, ponieważ wykrycie anomalii może nastąpić już po zakończeniu eksfiltracji.
Ryzyko zwiększa także fakt, że używane narzędzia nie są z definicji złośliwe. Jeżeli organizacja nie prowadzi ścisłej kontroli aplikacji i nie monitoruje aktywności narzędzi zdalnego wsparcia, atakujący mogą działać niemal w granicach pozornie prawidłowego ruchu administracyjnego.
Wariant fizyczny podnosi stawkę jeszcze bardziej. Pokazuje bowiem, że sama ochrona cyfrowa nie wystarcza, jeśli recepcja, personel administracyjny i pracownicy biurowi nie potrafią zweryfikować osoby podającej się za technika lub konsultanta IT.
Rekomendacje
Organizacje powinny wdrożyć formalne procedury potwierdzania wszelkich działań wsparcia IT poza kanałem inicjowanym przez rozmówcę. Każda prośba o instalację narzędzia zdalnego dostępu, uruchomienie sesji współdzielenia ekranu czy wykonanie operacji na plikach powinna być potwierdzana niezależnym, zaufanym kanałem.
- Ograniczyć listę dozwolonych narzędzi zdalnej administracji i pomocy technicznej.
- Wdrożyć allowlisting oraz blokowanie nieautoryzowanych instalatorów.
- Generować alerty dla uruchamiania i instalacji takich narzędzi jak AnyDesk, Zoho Assist, Bomgar, SuperOps RMM i Quick Assist.
- Monitorować transfery realizowane przez WinSCP, Rclone i podobne programy.
- Korelować zdarzenia z poczty, EDR, proxy, CASB oraz systemów tożsamości.
- Wzmacniać DLP, segmentację zasobów i zasadę najmniejszych uprawnień.
- Monitorować masowe kopiowanie dokumentów oraz nietypowy dostęp do udziałów sieciowych i chmury.
- Przeszkolić recepcję i pracowników biurowych w zakresie weryfikacji techników, gości i dostawców usług IT.
- Zaktualizować playbooki reagowania o scenariusze extortion-only i incydenty z elementem fizycznym.
Szczególnie ważne jest połączenie świadomości użytkowników z twardymi kontrolami technicznymi. Nawet najlepiej wyszkolony pracownik może paść ofiarą wiarygodnej socjotechniki, dlatego potrzebne są mechanizmy, które ograniczą możliwość instalacji narzędzi i szybkiej eksfiltracji danych.
Podsumowanie
Kampania UNC3753 pokazuje, że współczesne wymuszenia danych coraz częściej opierają się na połączeniu socjotechniki, legalnych narzędzi administracyjnych i krótkiego czasu operacyjnego. To model wyjątkowo groźny dla organizacji, które przechowują dokumenty o wysokiej wartości regulacyjnej, prawnej lub finansowej.
Najważniejsza lekcja dla obrońców jest jasna: skuteczna ochrona wymaga integracji zabezpieczeń technicznych, procedur operacyjnych helpdesku, monitorowania narzędzi zdalnego dostępu, kontroli danych oraz bezpieczeństwa fizycznego. Bez takiego podejścia nawet dojrzałe środowisko może zostać naruszone przez atak, który wygląda jak zwykłe wsparcie IT.