FBI advarede om, at Silent Ransom Group bruger falske IT-supportordninger og fysiske taktikker til at stjæle følsomme virksomhedsdata. Den cyberkriminelle operation retter sig mod organisationer gennem phishingmails, callback-svindel, fjernadgangsværktøjer og endda fysiske besøg på virksomhedskontorer.
Forskere oplyste, at kampagnen primært retter sig mod advokatfirmaer og andre professionelle organisationer i USA. Angrebene viser, hvordan cyberkriminelle grupper fortsætter med at bevæge sig mod social engineering og datatyveri frem for traditionel ransomware-kryptering.
FBI advarer mod falske IT-supportangreb
Ifølge FBI kontakter Silent Ransom Group medarbejdere, mens de udgiver sig for at være internt IT-personale eller eksterne tekniske supportmedarbejdere. Angriberne sender phishingmails eller får ofrene til at ringe til falske supportnumre, som gruppen kontrollerer.
Når kommunikationen begynder, forsøger angriberne at overtale medarbejdere til at installere fjernadgangssoftware eller dele loginoplysninger. I nogle tilfælde eskalerer gruppen angrebet yderligere ved at sende personer direkte til ofrenes kontorer.
FBI oplyste, at angriberne har forsøgt at få fysisk adgang til virksomhedssystemer og følsomme filer under disse besøg. Trusselsaktører skal også have brugt USB-enheder og ekstern lagringshardware til at stjæle virksomhedsdata fra kompromitterede systemer.
Efterforskere advarede organisationer mod uventede supporthenvendelser, der involverer akutte sikkerhedsproblemer eller forespørgsler om fjernadgang.
Silent Ransom Group fokuserer på afpresning
I modsætning til mange ransomwaregrupper fokuserer Silent Ransom Group typisk på datatyveri frem for filkryptering. Angriberne stjæler følsomme virksomhedsoplysninger og presser derefter ofrene med afpresningskrav.
Forskere oplyste, at gruppen truer med at offentliggøre eller sælge stjålne filer, hvis organisationer nægter at betale. Strategien gør det muligt for angriberne at undgå visse traditionelle metoder til at opdage ransomware, samtidig med at de skaber stort økonomisk og omdømmemæssigt pres på ofrene.
Gruppen opererer også under flere andre navne, blandt andet:
- Luna Moth
- Chatty Spider
- UNC3753
- Storm-0252
Sikkerhedseksperter oplyste, at operationen har været aktiv siden mindst 2022. Angriberne brugte tidligere callback-phishing forbundet med ældre ransomwaremiljøer, før de udviklede operationen til en rendyrket afpresningskampagne.
Callback-phishing forbliver en central taktik
Forskere oplyste, at callback-phishing fortsat spiller en central rolle i gruppens operationer. Angriberne sender e-mails, der skal skabe panik eller hastværk, ofte med falske fakturaer, abonnementsgebyrer eller sikkerhedsadvarsler.
Ofrene bliver bedt om at ringe til supportnumre, som angriberne kontrollerer. Når samtalen begynder, manipulerer trusselsaktørerne medarbejdere til at give fjernadgang til virksomhedssystemer.
Sikkerhedsforskere opdagede også, at gruppen registrerer domæner, som efterligner legitime IT-supportportaler. De falske hjemmesider hjælper angriberne med at fremstå mere troværdige under supportsamtaler.
FBI opfordrede medarbejdere til altid at verificere supporthenvendelser, før de downloader software eller deler adgangsoplysninger.
Trusler fra social engineering fortsætter med at vokse
Silent Ransom Groups kampagne viser, hvor vigtig social engineering er blevet i moderne cyberkriminelle operationer. Mange trusselsaktører prioriterer nu manipulation og tyveri af loginoplysninger frem for kun at stole på malware.
Forskere advarede om, at forsøg på fysisk adgang skaber ekstra sikkerhedsrisici, fordi de kan omgå visse traditionelle cybersikkerhedsbeskyttelser. Organisationer bør styrke procedurer for besøgsverificering, medarbejdertræning og adgangspolitikker.
Sikkerhedsteams bør også overvåge usædvanlige forespørgsler om fjernadgang og uautoriserede enheder, der tilsluttes virksomhedsmiljøer.
Konklusion
Silent Ransom Group bruger falske IT-supportordninger, callback-phishing og fysiske taktikker til at stjæle følsomme virksomhedsdata fra amerikanske organisationer. FBI advarede om, at angriberne i stigende grad benytter social engineering og fysisk adgang frem for traditionel ransomware-kryptering.
Forskere oplyste, at organisationer bør være opmærksomme på mistænkelige supporthenvendelser, uautoriserede besøgende og forsøg på at tilslutte eksterne enheder til virksomhedssystemer.
0 svar til “Silent Ransom Group bruger falske IT-opkald og fysiske taktikker”