Amerikaanse advocatenkantoren zijn het doelwit van ransomware-aanvallen waarbij wordt geprobeerd om allerlei gevoelige informatie te stelen, zo laat de FBI vandaag weten. Om de advocatenkantoren te compromitteren wordt gebruik gemaakt van social engineering. In eerste instantie werd er gewerkt met 'callback phishingmails'. Doelwitten ontvingen een e-mail over een afgesloten abonnement. Om het abonnement te annuleren moet de ontvanger het opgegeven telefoonnummer bellen.

Zodoende belt het doelwit de aanvallers, die vervolgens de instructie geven om remote access software te downloaden. Daarmee wordt vervolgens het systeem van het doelwit overgenomen. De aanvallers zoeken daarna naar gevoelige informatie om het advocatenkantoor mee af te persen. Sinds maart van dit jaar passen de aanvallers een nieuwe methode toe. Daarbij worden doelwitten door de aanvallers gebeld, die zich voordoen als een medewerker van de it-afdeling.

Wederom wordt het doelwit door middel van social engineering overgehaald om de aanvallers toegang tot zijn systeem te geven. De aanvallers proberen nu hun rechten te verhogen en vervolgens data te stelen, waarbij er gebruik wordt gemaakt van WinSCP of Rclone. In het geval het gecompromitteerde systeem niet over adminrechten beschikt gebruiken de aanvallers WinSCP Portable om de data te stelen. "Hoewel deze tactiek pas recent is waargenomen, is die zeer effectief en heeft tot meerdere compromitteringen geleid", aldus de FBI (pdf).

De Amerikaanse opsporingsdienst geeft verschillende adviezen om de aanvallen tegen te gaan. Zo wordt onder andere aangeraden om personeel te trainen, alsmede beleid te ontwikkelen en communiceren over wanneer en hoe it-personeel zichzelf bij andere medewerkers authenticeert.