ABD genelindeki hukuk firmaları, geleneksel kimlik avı taktiklerinin ötesine geçen giderek sofistike tehdit aktörlerinin hedefi haline geldi. FBI'ın son Flash Alert uyarısına göre, Silent Ransom Group (SRG) olarak da bilinen Luna Moth, Chatty Spider ve UNC3753 grupları, 2023'ten beri ABD merkezli hukuk firmalarını hedef alıyor. SRG, sigorta, finans ve sağlık gibi diğer sektörlerdeki şirketleri de mağdur etti.
FBI, SRG'nin geçmişte küçük 'abonelik ücretleri' talep eden kimlik avı e-postaları göndererek kurban ağlarına erişmeye çalıştığını belirtti. Sahte aboneliği iptal etmek için kurbanın tehdit aktörünü araması isteniyor, ardından gelen bağlantıya tıklayarak uzaktan erişim yazılımı indiriliyor. Palo Alto Networks Unit 42 tarafından 2022'de belgelenen bu taktik, geri arama ve telefon odaklı saldırı dağıtımı (TOAD) olarak biliniyor ve o dönemde kurbanlara yüz binlerce dolara mal olmuştu.
SRG'nin sosyal mühendislik kampanyası artık yeni bir boyuta ulaştı. FBI, 2026 baharı itibarıyla grubun, kurbanın BT departmanı çalışanı gibi davranarak doğrudan telefonla aradığını veya e-posta göndererek çalışanları BT desteği rolündeki SRG aktörünü aramaya yönlendirdiğini bildiriyor. Telefonda çalışanlardan uzak masaüstü oturumuna izin vermeleri isteniyor. Bu başarısız olursa, SRG aktörü fiziksel olarak kurbanın bulunduğu yere bir tehdit aktörü göndererek bilgisayara bir depolama aygıtı taktırıyor. Saldırgan, kimlik avı e-postasının olası etkilerini gidermek için cihazı görüntülemesi veya yedek dosya oluşturması gerektiğini söylüyor.
Erişim sağlandıktan sonra SRG, ayrıcalıkları minimumda yükselterek hızla veri sızdırmaya geçiyor ve şifreleme yapmıyor. Veri sızdırmak için Windows Secure Copy (WinSCP) veya gizlenmiş 'Rclone' sürümü kullanılıyor. Ayrıca veriler Google Drive veya Microsoft OneDrive gibi dahili dosya paylaşım platformlarına da aktarılıyor. Fiziksel erişim durumunda harici sabit disk veya USB sürücü kullanılıyor. FBI, SRG'nin genellikle meşru sistem yönetim araçlarını kullandığı için geleneksel antivirüs ürünlerinin bu saldırıları tespit edemeyebileceğini vurguluyor. Siber güvenlik liderlerinin güçlü parolalar, çok faktörlü kimlik doğrulama ve güncel antivirüs araçlarıyla siber hijyeni güçlendirmeleri öneriliyor.