- Автор темы
- #1
ФБР выпустило предупреждение, связанное с новой тактикой группировки Silent Ransom Group (она же Luna Moth, Chatty Spider и UNC3753). По данным правоохранителей, с весны 2026 года хакеры используют необычную схему атак против американских юридических фирм: если получить удаленный доступ к системе не удается, к жертве лично приезжает фальшивый ИТ-специалист.
Как объясняют в ФБР, атака обычно начинается с фишингового письма или звонка. В письмах злоумышленники выдают себя за сотрудников ИТ-отдела компании и убеждают жертву связаться со «службой поддержки». Во время телефонного разговора атакующие просят предоставить доступ к системе через RDP или другие инструменты удаленного администрирования.
Если сотрудник отказывается или схема не срабатывает по другим причинам, группировка переходит к следующему этапу: в офис компании отправляют человека, который представляется ИТ-специалистом. Под предлогом проверки систем (якобы после получения фишингового письма), создания резервной копии или диагностики системы сообщник группировки подключает к компьютеру USB-накопитель или внешний диск.
Получив доступ к машине, злоумышленники быстро повышают привилегии и начинают эксфильтрацию данных. При этом группировка обычно не использует шифровальщики, фокусируясь на краже информации и последующем шантаже.
В ФБР отмечают, что это один из ключевых признаков такой атаки: появление неизвестных людей, пытающихся получить физический доступ к корпоративным компьютерам, а также подключение внешних накопителей к рабочим машинам.
Для хищения данных Silent Ransom Group использует легитимные инструменты вроде WinSCP и Rclone, а также облачные сервисы, включая Google Drive и Microsoft OneDrive. В некоторых случаях данные и вовсе могут быть скопированы напрямую на внешний диск, который злоумышленник принес с собой.
После кражи информации жертве отправляют письмо с требованием выкупа и угрозами опубликовать или продать похищенные данные. Дополнительное давление на пострадавшую компанию оказывают по телефону: вымогатели могут звонить сотрудникам или даже клиентам компании-жертвы.
Правоохранители подчеркивают, что группировка почти не оставляет следов в системе и в основном использует штатные средства удаленного доступа и администрирования, которые редко вызывают подозрения у защитных решений.
Silent Ransom Group (SRG) активна как минимум с 2022 года. Изначально исследователи связывали хакеров с атаками BazarCall, которые использовалась операторами таких вымогательских групп, как Conti и Ryuk. Судя по всему, после распада Conti в 2022 году SRG отделилась и сосредоточилась на кражах данных и вымогательстве.
В прошлом году специалисты ФБР предупреждали, что SRG атакует американские юридические и финансовые организации через callback-фишинг и социальную инженерию. А аналитики EclecticIQ сообщали, что злоумышленники регистрируют домены, маскирующиеся под внутренние ИТ-порталы крупных юридических фирм и финансовых компаний США.
Как объясняют в ФБР, атака обычно начинается с фишингового письма или звонка. В письмах злоумышленники выдают себя за сотрудников ИТ-отдела компании и убеждают жертву связаться со «службой поддержки». Во время телефонного разговора атакующие просят предоставить доступ к системе через RDP или другие инструменты удаленного администрирования.
Если сотрудник отказывается или схема не срабатывает по другим причинам, группировка переходит к следующему этапу: в офис компании отправляют человека, который представляется ИТ-специалистом. Под предлогом проверки систем (якобы после получения фишингового письма), создания резервной копии или диагностики системы сообщник группировки подключает к компьютеру USB-накопитель или внешний диск.
Получив доступ к машине, злоумышленники быстро повышают привилегии и начинают эксфильтрацию данных. При этом группировка обычно не использует шифровальщики, фокусируясь на краже информации и последующем шантаже.
В ФБР отмечают, что это один из ключевых признаков такой атаки: появление неизвестных людей, пытающихся получить физический доступ к корпоративным компьютерам, а также подключение внешних накопителей к рабочим машинам.
Для хищения данных Silent Ransom Group использует легитимные инструменты вроде WinSCP и Rclone, а также облачные сервисы, включая Google Drive и Microsoft OneDrive. В некоторых случаях данные и вовсе могут быть скопированы напрямую на внешний диск, который злоумышленник принес с собой.
После кражи информации жертве отправляют письмо с требованием выкупа и угрозами опубликовать или продать похищенные данные. Дополнительное давление на пострадавшую компанию оказывают по телефону: вымогатели могут звонить сотрудникам или даже клиентам компании-жертвы.
Правоохранители подчеркивают, что группировка почти не оставляет следов в системе и в основном использует штатные средства удаленного доступа и администрирования, которые редко вызывают подозрения у защитных решений.
Silent Ransom Group (SRG) активна как минимум с 2022 года. Изначально исследователи связывали хакеров с атаками BazarCall, которые использовалась операторами таких вымогательских групп, как Conti и Ryuk. Судя по всему, после распада Conti в 2022 году SRG отделилась и сосредоточилась на кражах данных и вымогательстве.
В прошлом году специалисты ФБР предупреждали, что SRG атакует американские юридические и финансовые организации через callback-фишинг и социальную инженерию. А аналитики EclecticIQ сообщали, что злоумышленники регистрируют домены, маскирующиеся под внутренние ИТ-порталы крупных юридических фирм и финансовых компаний США.