ФБР предупреди, че киберпрестъпната група Silent Ransom Group (SRG) е започнала да атакува адвокатски кантори в САЩ чрез физически прониквания и кражба на данни на място.
Според публикуваното във вторник предупреждение, от пролетта на 2026 г. насам групата използва нова тактика, комбинираща социално инженерство, phishing кампании и физически достъп до компютри на жертвите.
Престъпниците се представят за ИТ поддръжка
ФБР посочва, че атакуващите се представят за служители от ИТ отдела на набелязаните организации.
Те:
- изпращат phishing имейли
- осъществяват телефонни обаждания
- убеждават служители да се свържат с фалшива техническа поддръжка
По време на разговора жертвите биват инструктирани да предоставят remote desktop достъп до своите устройства.
При неуспех – изпращат човек на място
Най-тревожната част от схемата е новата физическа фаза на атаките.
Ако дистанционният достъп не бъде получен, SRG изпраща човек директно в офиса на организацията, който се представя за ИТ техник и се опитва да получи физически достъп до компютърните системи.
След това нападателите:
- свързват USB устройства
- използват външни твърди дискове
- копират чувствителна информация локално
ФБР предупреждава, че наличието на непознати лица, представящи се за ИТ поддръжка, както и неоторизирано свързване на USB устройства към служебни компютри, са сериозни индикатори за активна атака от SRG.
Изнудване след кражбата на данни
След ексфилтрацията на информацията групата изпраща искания за откуп, като заплашва:
- да публикува данните
- да ги продаде
- да ги качи в leak сайтове
Според ФБР престъпниците често упражняват допълнителен натиск чрез директни обаждания към:
- служители
- клиенти
- партньори на жертвата
с цел ускоряване на преговорите за плащане.
Silent Ransom Group и връзката с Conti и Ryuk
Групата е известна още като:
- Luna Moth
- Chatty Spider
- UNC3753
Silent Ransom Group е активна поне от 2022 г., а от началото на 2023 г. насам се фокусира основно върху юридически и финансови организации в САЩ.
Според предишни разследвания същите нападатели са били свързвани и с BazarCall кампании, използвани за първоначален достъп при атаките на ransomware групите:
- Conti
- Ryuk
След разпадането на Conti през 2022 г. част от операторите формират Silent Ransom Group и се насочват към операции за кражба на данни и изнудване вместо класически ransomware атаки.
Атакуват адвокатски и финансови организации чрез typosquatting
Доклад на EclecticIQ от май 2025 г. разкрива, че групата регистрира домейни, имитиращи ИТ helpdesk и support портали на големи американски адвокатски кантори и финансови компании.
Използват се typosquatting техники – домейни с минимални правописни разлики, които изглеждат легитимни за жертвите.
ФБР препоръчва засилени проверки
Федералните власти призовават организациите да:
- ограничат remote access инструментите
- обучат служителите срещу социално инженерство
- проверяват самоличността на външни ИТ лица
- блокират неоторизирани USB устройства
- следят за подозрителни helpdesk домейни
- въведат строги процедури за физически достъп
Случаят показва как модерните киберпрестъпни групи increasingly комбинират дигитални и физически техники за проникване, особено срещу организации с чувствителни правни и финансови данни.
