FBI advarte om at Silent Ransom Group bruker falske IT-supportopplegg og fysiske taktikker for å stjele sensitiv bedriftsdata. Den cyberkriminelle operasjonen retter seg mot organisasjoner gjennom phishing-e-poster, callback-svindel, fjernaksessverktøy og til og med fysiske besøk på bedriftskontorer.
Forskere opplyste at kampanjen hovedsakelig retter seg mot advokatfirmaer og andre profesjonelle organisasjoner i USA. Angrepene viser hvordan cyberkriminelle grupper fortsetter å bevege seg mot social engineering og datatyveri i stedet for tradisjonell ransomware-kryptering.
FBI advarer mot falske IT-supportangrep
Ifølge FBI kontakter Silent Ransom Group ansatte samtidig som de utgir seg for å være intern IT-personell eller eksterne tekniske supportmedarbeidere. Angriperne sender phishing-e-poster eller ber ofrene ringe falske supportnumre kontrollert av gruppen.
Når kommunikasjonen starter, forsøker angriperne å overtale ansatte til å installere programvare for fjernaksess eller dele innloggingsinformasjon. I enkelte tilfeller trapper gruppen opp angrepet ytterligere ved å sende personer direkte til ofrenes kontorer.
FBI opplyste at angriperne har forsøkt å få fysisk tilgang til bedriftssystemer og sensitive filer under disse besøkene. Trusselaktører skal også ha brukt USB-enheter og eksternt lagringsutstyr for å stjele bedriftsinformasjon fra kompromitterte systemer.
Etterforskere advarte organisasjoner mot uventede supportforespørsler som handler om akutte sikkerhetsproblemer eller forespørsler om fjernaksess.
Silent Ransom Group fokuserer på utpressing
I motsetning til mange ransomware-grupper fokuserer Silent Ransom Group vanligvis på datatyveri i stedet for filkryptering. Angriperne stjeler sensitiv bedriftsinformasjon og presser deretter ofrene med utpressingskrav.
Forskere opplyste at gruppen truer med å publisere eller selge stjålne filer dersom organisasjoner nekter å betale. Strategien gjør det mulig for angriperne å unngå enkelte tradisjonelle metoder for å oppdage ransomware samtidig som de skaper stort økonomisk og omdømmemessig press på ofrene.
Gruppen opererer også under flere andre navn, blant annet:
- Luna Moth
- Chatty Spider
- UNC3753
- Storm-0252
Sikkerhetseksperter opplyste at operasjonen har vært aktiv siden minst 2022. Angriperne brukte tidligere callback-phishing knyttet til eldre ransomware-miljøer før de utviklet virksomheten til en ren utpressingsoperasjon.
Callback-phishing forblir en sentral taktikk
Forskere opplyste at callback-phishing fortsatt spiller en sentral rolle i gruppens operasjoner. Angriperne sender e-poster som skal skape panikk eller stress og som ofte inneholder falske fakturaer, abonnementsavgifter eller sikkerhetsadvarsler.
Ofrene blir bedt om å ringe supportnumre kontrollert av angriperne. Når samtalen starter, manipulerer trusselaktørene ansatte til å gi fjernaksess til bedriftssystemer.
Sikkerhetsforskere oppdaget også at gruppen registrerer domener som etterligner legitime IT-supportportaler. De falske nettstedene hjelper angriperne med å fremstå som mer troverdige under supportsamtaler.
FBI oppfordret ansatte til alltid å verifisere supportforespørsler før de laster ned programvare eller deler tilgangsopplysninger.
Trusler fra social engineering fortsetter å vokse
Silent Ransom Groups kampanje viser hvor viktig social engineering har blitt i moderne cyberkriminelle operasjoner. Mange trusselaktører prioriterer nå manipulasjon og tyveri av innloggingsopplysninger i stedet for å stole utelukkende på skadevare.
Forskere advarte om at forsøk på fysisk tilgang skaper ekstra sikkerhetsrisiko fordi de kan omgå enkelte tradisjonelle cybersikkerhetsbeskyttelser. Organisasjoner bør styrke rutiner for besøkskontroll, opplæring av ansatte og tilgangspolicyer.
Sikkerhetsteam bør også overvåke uvanlige forespørsler om fjernaksess og uautoriserte enheter som kobles til bedriftsmiljøer.
Konklusjon
Silent Ransom Group bruker falske IT-supportopplegg, callback-phishing og fysiske taktikker for å stjele sensitiv bedriftsdata fra amerikanske organisasjoner. FBI advarte om at angriperne i økende grad baserer seg på social engineering og fysisk tilgang i stedet for tradisjonell ransomware-kryptering.
Forskere opplyste at organisasjoner bør være oppmerksomme på mistenkelige supportforespørsler, uautoriserte besøkende og forsøk på å koble eksterne enheter til bedriftssystemer.
0 responses to “Silent Ransom Group bruker falske IT-samtaler og fysiske taktikker”