De FBI waarschuwt dat een cyberafpersingsgroep, gelinkt aan het inmiddels opgeheven Conti ransomware-syndicaat, Amerikaanse advocatenkantoren steeds vaker doelgericht aanvalt. De groep, bekend als Silent Ransom Group (SRG), gebruikt een combinatie van phishing, valse IT-ondersteuningsgesprekken en zelfs fysieke bezoeken om gevoelige gegevens te stelen, zo blijkt uit een publieke waarschuwing van de FBI.

Volgens de FBI richt SRG zich sinds 2023 consequent op advocatenkantoren in de Verenigde Staten. De aanvallers maken gebruik van social engineering om op afstand toegang te krijgen tot bedrijfsnetwerken en data te exfiltreren. De groep, die ook bekendstaat onder namen als Luna Moth, Chatty Spider en UNC3753, focust op datadiefstal en afpersing, in plaats van het versleutelen van netwerken zoals traditionele ransomwaregroepen. Nadat de data is buitgemaakt, dreigen de aanvallers deze openbaar te maken of te verkopen tenzij er losgeld wordt betaald.

De meest recente campagne, die dit voorjaar werd waargenomen, bestaat uit aanvallers die zich voordoen als interne IT-medewerkers. Slachtoffers ontvangen telefoontjes of phishingmails waarin ze worden aangespoord contact op te nemen met een zogenaamd helpdesknummer. Tijdens deze gesprekken worden medewerkers overgehaald om externe desktoptoegang te verlenen, waardoor de aanvallers snel door het netwerk kunnen bewegen en bestanden kunnen stelen. Als deze pogingen mislukken, kan de groep zelfs een persoon naar het kantoor sturen om fysieke toegang tot een computer te verkrijgen. Deze persoon kan beweren een back-up te moeten maken of een apparaat te moeten imageren vanwege een vermeend beveiligingsprobleem, waarna data wordt gekopieerd naar externe opslagmedia zoals harde schijven of USB-sticks.

De FBI benadrukt dat de activiteiten van SRG lastig te detecteren zijn omdat ze sterk leunen op legitieme tools voor remote management en systeembeheer die normaal door IT-afdelingen worden gebruikt. Gestolen data wordt vaak via vertrouwde cloudplatforms zoals Google Drive en Microsoft OneDrive overgedragen, waardoor de kwaadaardige activiteiten vermengd raken met reguliere bedrijfsprocessen.

Silent Ransom Group is actief sinds ten minste 2022 en ontstond na de ondergang van het Conti ransomware-syndicaat, zoals beschreven in een analyse van de groep. Eerdere operaties van SRG maakten gebruik van phishingmails over valse abonnementskosten, waarbij slachtoffers werden gevraagd een telefoonnummer te bellen en remote access-software te installeren. Advocatenkantoren blijven aantrekkelijke doelen vanwege de grote hoeveelheden gevoelige juridische, financiële en bedrijfsinformatie die zij beheren. De FBI gaf eerder al een soortgelijke waarschuwing uit over deze groep, zoals te zien in een cyberalert.

Naast advocatenkantoren richt SRG zich ook op organisaties in de zorg, verzekeringen en financiële sector. De FBI heeft niet gespecificeerd hoeveel advocatenkantoren recentelijk zijn aangevallen of of deze pogingen succesvol waren.