ABD genelindeki hukuk firmaları, siber saldırganların yeni taktikleriyle karşı karşıya. Geleneksel kimlik avı yöntemlerini aşan tehdit aktörleri, artık güvenilir bilişim personeli gibi davranarak hem telefonla hem de yüz yüze görüşmelerle şirket sistemlerine sızıyor. FBI'ın son Flash Alert uyarısına göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 grupları, 2023'ten bu yana özellikle ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.
FBI, tehdit aktörünün geçmişte küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları göndererek ağlara erişim sağladığını belirtiyor. Mağdurlar, sahte aboneliği iptal etmek için aranan numarada yönlendirilen bağlantıya tıklayarak uzaktan erişim yazılımı indiriyordu. Palo Alto Networks Unit 42'nin 2022'de detaylandırdığı 'callback and telephone-oriented attack delivery (TOAD)' taktiğiyle yüz binlerce dolar zarar oluşmuştu. SRG, şimdi bu taktiği daha da geliştirdi: 2026 baharı itibarıyla mağdurun IT departmanı çalışanı gibi davranarak doğrudan arama veya e-posta yoluyla çalışanları kandırıyor.
Yeni senaryoda, SRG aktörleri çalışanları arayarak veya e-posta göndererek sözde IT desteğiyle konuşmaya yönlendiriyor. Telefonda, çalışanlardan uzak masaüstü oturumuna izin vermeleri isteniyor. Bu başarısız olursa, SRG aktörü fiziksel olarak mağdurun bulunduğu yere bir tehdit aktörü göndererek bilgisayara bir depolama aygıtı takılmasını sağlıyor. Tehdit aktörü, kimlik avı e-postasının olası etkilerine karşı cihazı imajlama veya yedekleme yapması gerektiğini söylüyor. Erişim sağlandığında, ayrıcalıklar minimumda yükseltilerek şifreleme olmadan hızlıca veri sızdırma işlemine geçiliyor.
Veri sızdırmada Windows Secure Copy (WinSCP) veya gizlenmiş 'Rclone' kullanılıyor. Ayrıca Google Drive, Microsoft OneDrive gibi dosya paylaşım platformlarına veya fiziksel ortamda harici disklere veri aktarılıyor. FBI, geleneksel antivirüs yazılımlarının bu saldırıyı tespit etme olasılığının düşük olduğunu, çünkü SRG'nin genellikle meşru sistem yönetim araçlarını kullandığını vurguluyor. Siber güvenlik liderlerinin güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçlarıyla siber hijyeni güçlendirmesi, FBI yönergelerini takip etmesi öneriliyor.