Η Silent Ransom Group, μια νέα απειλή στον τομέα της κυβερνοασφάλειας, έχει ήδη ξεκινήσει επιθέσεις σε δικηγορικά γραφεία των Η.Π.Α., χρησιμοποιώντας μηχανισμούς κοινωνικής μηχανικής που ενδομυχανεύουν την εμπιστοσύνη των εργαζομένων. Αυτή η ομάδα δεν ακολουθεί την παραδοσιακή οδό της κρυπτογράφησης δεδομένων, αλλά επικεντρώνεται στη λεηλασία και εκβιασμό των οργανισμών από τους οποίους κλέβει πληροφορίες.
Ο Silent Ransom Group (SRG), γνωστός και ως Luna Moth και Chatty Spider, είναι ενεργός τουλάχιστον από το 2022. Έχει επεκταθεί σε πολλούς τομείς, με τα δικηγορικά γραφεία να αποτελούν την κύρια στόχευσή τους από την αρχή του 2023. Η τακτική τους είναι απλή αλλά εξαιρετικά ύπουλη: αποκτούν πρόσβαση στα εσωτερικά συστήματα, κλέβουν ευαίσθητα δεδομένα και κωδικοποιούν την απελευθέρωσή τους με απειλές δημοσίευσης ή πώλησης των δεδομένων.
Εκτός από τη χρήση κακόβουλου λογισμικού, η SRG έχει στραφεί στη χρήση νόμιμων εργαλείων απομακρυσμένης πρόσβασης, καθιστώντας τη διάγνωση της απειλής πιο δύσκολη για τις ομάδες IT. Ωστόσο, η αλλαγή στρατηγικής έχει καταστεί πιο επικίνδυνη και πιο δύσκολη να εντοπιστεί.
Επικέντρωση των επιθέσεων στα δικηγορικά γραφεία
Από την άνοιξη του 2023, οι στρατηγικές τους έχουν αλλάξει και εστιάζονται στο να μιμούνται το προσωπικό υποστήριξης IT. Μπορεί να επικοινωνούν τηλεφωνικά ή μέσω phishing emails προσποιούμενοι ότι εκτελούν εργασίες υποστήριξης, ενθαρρύνοντας τους υπαλλήλους να τους δώσουν πρόσβαση στις υποδομές.
Συχνά, αν η απομακρυσμένη πρόσβαση αποτύχει, στέλνουν ακόμα και φυσικούς εκπροσώπους στην τοποθεσία των θυμάτων, που προσποιούνται τους IT τεχνικούς και έχουν πρόσβαση στα συστήματα. Αυτή η προσέγγιση δημιουργεί επιπλέον ευπάθειες καθώς οι υπάλληλοι δεν είναι υποψιασμένοι και συχνά ακολουθούν τις υποδείξεις τους.
Στρατηγικές άμυνας ενάντια στις επιθέσεις SRG
Ο FBI προτείνει σειρά μέτρων που οι οργανισμοί θα μπορούσαν να εφαρμόσουν για να περιορίσουν την έκθεσή τους σε τέτοιες επιθέσεις. Ένα από τα πρωταρχικά βήματα είναι η επαλήθευση των ταυτοτήτων οποιουδήποτε ισχυρίζεται ότι είναι προσωπικό υποστήριξης IT προτού του δοθεί πρόσβαση.
Οι οργανισμοί θα χρειαστεί να καθορίσουν σαφείς εσωτερικές διαδικασίες για την επικοινωνία του πραγματικού προσωπικού IT με τους υπαλλήλους, ενισχύοντας έτσι την αναγνώριση των ύποπτων προσπαθειών κοινωνικής μηχανικής. Αξιοποιώντας αυτοματοποιημένες πολιτικές και εργαλεία ασφάλειας θα προσφέρουν επιπλέον προστασία.
Δείκτες Συμβιβασμού (IoCs): Ορισμένα από τα κύρια χαρακτηριστικά που υποδηλώνουν τις ενέργειες της SRG περιλαμβάνουν:
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Πεδίο ορισμού | επιχειρηματικές διαρροές δεδομένων[.]com | Δημόσιος ιστότοπος διαρροής που χρησιμοποιείται για την ανάρτηση κλεμμένων δεδομένων τους. |
| Εργαλείο | WinSCP | Χρησιμοποιείται για την εξαγωγή δεδομένων σε εξωτερικές διευθύνσεις IP. |
| Εργαλείο | Rclone | Χρησιμοποιείται για κρυφή εξαγωγή δεδομένων σε υπηρεσίες cloud. |
| Εργαλείο απομακρυσμένης πρόσβασης | Zoho Assist | Μη εξουσιοδοτημένη λήψη ενδέχεται να υποδηλώνει παρουσία SRG. |
Σημείωση: Αυτή η ανάλυση έχει σκοπό να καθοδηγήσει την κοινότητα IT και τις επιχειρήσεις σχετικά με τις τεχνικές της SRG ώστε να παραμείνουν προετοιμασμένοι ενάντια σε πιθανές επιθέσεις.
Συμπέρασμα
Είναι ξεκάθαρο ότι οι επιθέσεις της Silent Ransom Group απαιτούν μεγαλύτερη προσοχή από τις οργανώσεις πληροφορικής, ιδιαίτερα στα δικηγορικά γραφεία, όπου η εμπιστοσύνη και η ασφάλεια των δεδομένων έχει ιδιαίτερη σημασία. Η λήψη προληπτικών μέτρων είναι επιτακτική για την προστασία πολύτιμων πληροφοριών και την αποφυγή εκβιασμών.
## Η άποψη του TechNoid.gr
Η εμφάνιση της Silent Ransom Group προσθέτει μια ακόμη διάσταση στις ήδη προκλητικές συνθήκες που καλούνται να αντιμετωπίσουν οι οργανισμοί. Η πρωτοτυπία της προσέγγισης τους αμφισβητεί τα παραδοσιακά μοντέλα ασφάλειας, καθιστώντας επιτακτική την ανάγκη για διαρκή επίγνωση και εκπαίδευση του προσωπικού. Είναι αναγκαίο οι οργανισμοί να προσαρμόσουν τις στρατηγικές τους ώστε να διασφαλίσουν την ακεραιότητα και την εμπιστευτικότητα των δεδομένων τους.
