De beruchte afpersingsgroep Silent Ransom Group (SRG) imiteert IT-supportmedewerkers in een nieuwe campagne gericht op advocatenkantoren, waarschuwt de FBI. Sinds minstens 2022 actief, richt SRG zich sinds 2023 vooral op Amerikaanse advocatenkantoren via callback phishing en social engineering, waarbij ze slachtoffers benaderen met de suggestie abonnementskosten te annuleren.

In een waarschuwing van mei 2025 waarschuwde de FBI al voor phishingmails van SRG met links naar remote access software, waarmee aanvallers snel data konden exfiltreren. Dit jaar is de tactiek aangepast: SRG doet zich nu voor als medewerker van de IT-afdeling van het slachtoffer. Volgens een recente FBI-alert bellen de aanvallers direct of sturen phishingmails om medewerkers te bewegen terug te bellen naar een zogenaamd IT-supportnummer. Tijdens het gesprek wordt het slachtoffer gevraagd toegang te verlenen via remote desktop sessies.

Als dit niet lukt, stuurt SRG een persoon fysiek naar de locatie van het slachtoffer om een apparaat in de computer te plaatsen. De aanvallers beweren dat ze een image of back-up moeten maken om mogelijke gevolgen van de phishingmail te beperken. Na toegang escaleren ze hun rechten en exfiltreren direct data, zonder ransomware te installeren. Voor het overbrengen van data gebruiken ze tools als WinSCP of een variant van Rclone. Soms wordt data gekopieerd naar interne platforms zoals Google Drive en Microsoft OneDrive.

Door iemand fysiek naar de locatie te sturen, exfiltreren SRG-leden data naar een externe harde schijf of USB-stick die in de computer wordt geplaatst. Vervolgens chanteren ze het slachtoffer door te dreigen de gestolen data te verkopen of online te publiceren. Ook nemen ze contact op met medewerkers en klanten van het slachtoffer om de druk te verhogen. De FBI meldt dat SRG weinig sporen achterlaat op geïnfecteerde systemen en dat traditionele antivirussoftware de aanval vaak niet detecteert, omdat legitieme systeembeheer- en remote access tools worden gebruikt.

Om aanvallen door SRG te voorkomen, adviseert de FBI organisaties om de identiteit van iedereen met toegang tot bedrijfsmiddelen strikt te verifiëren, de toegang tot gevoelige data te beperken, medewerkers te trainen in het herkennen van phishing, en duidelijke regels op te stellen voor communicatie en authenticatie van IT-support. Daarnaast helpen het maken van back-ups, het implementeren van phishingbestendige multi-factor authenticatie, het blokkeren van vaak misbruikte poorten en het uitschakelen van externe toegang en permissies voor het installeren van externe apparaten om datalekken en inbraken te voorkomen.