Amerika Birleşik Devletleri'ndeki hukuk firmaları, geleneksel kimlik avı e-postalarının ötesine geçen giderek sofistike tehdit aktörlerinin hedefi haline geldi. FBI'ın son Acil Durum Uyarısı'na göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 grupları, 2023'ten bu yana ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.
FBI, tarihsel olarak tehdit aktörlerinin küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları gönderdiğini ve kurbanların bu sahte aboneliği iptal etmek için araması halinde, uzaktan erişim yazılımı indirmeye yönlendirildiğini belirtti. Bu taktik, geri arama ve telefon odaklı saldırı dağıtımı (TOAD) olarak biliniyor ve Palo Alto Networks Unit 42 tarafından 2022'de detaylandırıldı. O dönemde kampanyanın mağdurlara yüz binlerce dolara mal olduğu açıklandı.
SRG, sosyal mühendislik kampanyasını geliştirerek 2026 baharı itibarıyla mağdurun BT departmanı personelini taklit ederken gözlemlendi. Dolandırıcılık, SRG aktörlerinin doğrudan arayarak veya kimlik avı e-postaları göndererek çalışanları BT desteği gibi davranan SRG aktörünü aramaya teşvik etmesini içeriyor. Telefonda çalışanlara uzak masaüstü oturumuna izin vermeleri söyleniyor; bu başarısız olursa, SRG aktörü fiziksel bir tehdit aktörünü mağdurun konumuna göndererek depolama aygıtını bilgisayara takmasını sağlıyor.
Teknik Analiz
Erişim sağlandıktan sonra SRG, ayrıcalıkları minimumda yükselterek şifreleme olmadan hızla veri sızdırmaya geçiyor. Windows Secure Copy (WinSCP) veya gizli bir 'Rclone' sürümü kullanılıyor; ayrıca Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına da sızma yapılıyor. FBI, geleneksel antivirüs ürünlerinin bu saldırıyı tespit etme olasılığının düşük olduğunu, çünkü SRG'nin genellikle meşru sistem yönetimi veya uzaktan erişim araçlarını kullandığını belirtiyor. Siber güvenlik liderlerinin, güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçlarıyla siber hijyeni güçlendirmesi öneriliyor.