FBI varnade för att Silent Ransom Group använder falska IT-supportupplägg och fysiska taktiker för att stjäla känslig företagsdata. Den cyberkriminella operationen riktar in sig på organisationer genom phishingmejl, callback-bedrägerier, fjärråtkomstverktyg och till och med fysiska besök på företagskontor.
Forskare uppgav att kampanjen främst riktar sig mot advokatbyråer och andra professionella organisationer i USA. Attackerna visar hur cyberkriminella grupper fortsätter att gå över till social engineering och datastöld i stället för traditionell ransomware-kryptering.
FBI varnar för falska IT-supportattacker
Enligt FBI kontaktar Silent Ransom Group anställda samtidigt som de utger sig för att vara intern IT-personal eller externa tekniska supportmedarbetare. Angriparna skickar phishingmejl eller uppmanar offren att ringa falska supportnummer som kontrolleras av gruppen.
När kommunikationen väl börjar försöker angriparna övertala anställda att installera program för fjärråtkomst eller dela inloggningsuppgifter. I vissa fall trappar gruppen upp attacken ytterligare genom att skicka personer direkt till offrens kontor.
FBI uppgav att angriparna försökt få fysisk tillgång till företagssystem och känsliga filer under dessa besök. Hotaktörer ska också ha använt USB-enheter och extern lagringsutrustning för att stjäla företagsinformation från komprometterade system.
Utredare varnade organisationer för oväntade supportförfrågningar som handlar om akuta säkerhetsproblem eller begäran om fjärråtkomstsessioner.
Silent Ransom Group fokuserar på utpressning
Till skillnad från många ransomwaregrupper fokuserar Silent Ransom Group vanligtvis på datastöld i stället för filkryptering. Angriparna stjäl känslig företagsinformation och pressar sedan offren med utpressningskrav.
Forskare uppgav att gruppen hotar att publicera eller sälja stulna filer om organisationer vägrar att betala. Strategin gör det möjligt för angriparna att undvika vissa traditionella metoder för att upptäcka ransomware samtidigt som de skapar stort ekonomiskt och reputationsmässigt tryck på offren.
Gruppen går även under flera andra namn, bland annat:
- Luna Moth
- Chatty Spider
- UNC3753
- Storm-0252
Säkerhetsexperter uppgav att operationen varit aktiv sedan åtminstone 2022. Angriparna använde tidigare callback-phishing kopplad till äldre ransomwaremiljöer innan de utvecklade verksamheten till en renodlad utpressningsoperation.
Callback-phishing fortsätter vara en central taktik
Forskare uppgav att callback-phishing fortfarande spelar en central roll i gruppens operationer. Angriparna skickar mejl som ska skapa panik eller stress och som ofta innehåller falska fakturor, abonnemangsavgifter eller säkerhetsvarningar.
Offren uppmanas att ringa supportnummer som kontrolleras av angriparna. När samtalet börjar manipulerar hotaktörerna anställda till att ge fjärråtkomst till företagssystem.
Säkerhetsforskare upptäckte också att gruppen registrerar domäner som efterliknar legitima IT-supportportaler. De falska webbplatserna hjälper angriparna att framstå som mer trovärdiga under supportsamtal.
FBI uppmanade anställda att alltid verifiera supportförfrågningar innan de laddar ner programvara eller delar åtkomstuppgifter.
Hot från social engineering fortsätter att växa
Silent Ransom Groups kampanj visar hur viktig social engineering blivit i moderna cyberkriminella operationer. Många hotaktörer prioriterar nu manipulation och stöld av inloggningsuppgifter i stället för att enbart använda skadlig kod.
Forskare varnade för att försök till fysisk åtkomst skapar ytterligare säkerhetsrisker eftersom de kan kringgå vissa traditionella cybersäkerhetsskydd. Organisationer bör stärka rutiner för besökskontroller, utbildning av anställda och åtkomstpolicyer.
Säkerhetsteam bör också övervaka ovanliga förfrågningar om fjärråtkomst och obehöriga enheter som ansluts i företagsmiljöer.
Slutsats
Silent Ransom Group använder falska IT-supportupplägg, callback-phishing och fysiska taktiker för att stjäla känslig företagsdata från amerikanska organisationer. FBI varnade för att angriparna i allt högre grad förlitar sig på social engineering och fysisk åtkomst i stället för traditionell ransomware-kryptering.
Forskare uppgav att organisationer bör vara uppmärksamma på misstänkta supportförfrågningar, obehöriga besökare och försök att ansluta externa enheter till företagssystem.
0 svar till ”Silent Ransom Group använder falska IT-samtal och fysiska taktiker”