Advocatenkantoren in de Verenigde Staten zijn het doelwit van criminelen die zich voordoen als helpdeskmedewerker en toegang tot gevoelige gegevens proberen te krijgen Slachtoffers worden vervolgens onder druk gezet om losgeld te betalen, anders dreigen de criminelen de gestolen data te publiceren, zo waarschuwt de FBI (pdf). Volgens de Amerikaanse opsporingsdienst zijn de aanvallen het werk van een ransomwaregroep genaamd Silent Ransom Group (SRG), die ook bekendstaat als Luna Moth, Chatty Spider en UNC3753.

De groep zou al zeker sinds 2022 actief zijn en zich specifiek bezighouden met datadiefstal. In tegenstelling tot veel andere ransomwaregroepen versleutelt SRG geen bestanden van slachtoffers. Om toegang tot de systemen van slachtoffers te krijgen verstuurde de groep vaak phishingmails waarbij werd geclaimd dat de ontvanger abonnementskosten moest betalen. Om het zogenaamde abonnement te annuleren moest de ontvanger van de mail contact opnemen met een opgegeven telefoonnummer. Dit nummer was van de aanvallers die slachtoffers instrueerden om remote access software te installeren waarmee er toegang tot hun systeem werd verkregen.

Sinds een aantal weken richt SRG zich op advocatenkantoren waarbij ze zich voordoen als de it-helpdesk, aldus de FBI. Doelwitten worden gebeld of krijgen een phishingmail, waarin wordt gesteld om met spoed het opgegeven telefoonnummer van de 'helpdesk' te bellen. De 'helpdesk' probeert vervolgens een remote desktopsessie op te zetten om zo toegang tot het systeem van het slachtoffer te krijgen. Wanneer dit niet lukt gaan de aanvallers fysiek langs het advocatenkantoor waarbij ze een usb-apparaat aansluiten.

Hierbij vertelt de 'helpdeskmedewerker' dat er vanwege een phishingmail een image of back-up van het systeem moet worden gemaakt. Zodra de aanvallers remote toegang tot een systeem hebben proberen ze via het programma rclone data te stelen. De gegevens worden dan gekopieerd naar een online opslagdienst zoals Google Drive of Microsoft OneDrive. Wanneer de aanvallers iemand fysiek langssturen worden de gegevens op een externe harde schijf of usb-stick gekopieerd.

Maatregelen

De FBI stelt dat organisaties verschillende maatregelen kunnen nemen om dergelijke aanvallen te voorkomen. Zo wordt aangeraden om van alle personen in het bedrijfspand de gegevens te controleren. Verder moet toegang tot gevoelige gegevens vanaf minder veilige netwerken, zoals internet en thuisnetwerken, worden beperkt. Organisaties moeten ook beleid opstellen waarin staat hoe de it-helpdesk communiceert en zich tegenover medewerkers authenticeert. Verder adviseert de FBI het trainen van personeel om phishing te herkennen, het blokkeren van poort 22 en het uitschakelen van remote toegang en de mogelijkheid voor het aansluiten van externe apparatuur.