Silent Ransom Groupは、法律事務所、医療機関、保険・金融会社を標的とするデータ窃取・恐喝グループであり、ITサポート担当者を装ったソーシャルエンジニアリングキャンペーンを展開している。Silent Ransom Group(別名:Luna Moth、Chatty Spider、UNC3753)は金銭的動機を持つ脅威グループであり、その名が示すとおり、ひそかにネットワークに侵入して機密データを窃取し、盗んだデータを公開または売却されたくなければ金を払えと要求する。同グループはファイルを暗号化するランサムウェアを使用しない。
Silent Ransom Groupは米国の法律事務所への攻撃を好む傾向を示しているが、機密データの漏洩が重大な評判被害や規制当局の監視を招きうる保険、金融、医療などの他のセクターへの攻撃も行っている。Silent Ransom Groupはこれまでにフィッシングキャンペーンを実施しており、ソーシャルエンジニアリング技術を用いて従業員をリモートアクセスソフトウェアのインストールへと誘導している。
そうしたキャンペーンの一例として、まもなく料金が発生するサービスへのサブスクリプションについて受信者に通知するフィッシングメールを使用するものがある。受信者はその料金を回避するために、メール内に記載された電話番号に電話するよう指示される。電話に出た相手はユーザーをリモートアクセスソフトウェアのダウンロードへと誘導し、そのソフトウェアはユーザーのシステムへの永続的なアクセス確保に使用される。その後、データが特定・窃取され、身代金要求が発せられる。
最新のキャンペーンは、連邦捜査局(FBI)のサイバーアラートによると、少なくとも2026年春から続いている。Silent Ransom Groupのアクターは被害者のIT部門の従業員を装い、電話で被害者に接触する。場合によっては、メールを使用し、脅威アクターに電話で連絡するよう被害者に求めることもある。
電話口で、ユーザーはITの問題を修正するという名目でリモートデスクトップセッションへのアクセスを許可するよう誘導される。その試みが失敗した場合、脅威アクターは問題を修正するために被害者の所在地を直接訪問する手配をする。直接訪問の際、脅威アクターは被害者のコンピュータにストレージデバイスを挿入する。被害者はフィッシングメールによる潜在的な影響に対処するために、デバイスのイメージを作成するかバックアップファイルを作成する必要があると告げられる。
物理的または遠隔セッションを通じてデバイスへのアクセスが確保されると、権限は最小限に昇格され、データはGoogle DriveやMicrosoft OneDriveといった内部ファイル共有プラットフォーム、またはWinSCPやRcloneを使用して迅速に窃取される。直接訪問の場合、データは外付けハードドライブまたはUSBドライブにコピーされる。
従業員への詐欺の周知に加え、会社施設への物理的アクセスを試みるいかなる人物の身元も確認することが重要である。FBIはSilent Ransom Groupの攻撃に対する防御を強化するためのいくつかの推奨事項をアラート内で示しており、認証管理の強化、従業員への詐欺の周知、施設へのアクセスを許可する前の身分証明書の確認を含む物理的セキュリティ管理の強化などが含まれる。
翻訳元: https://www.hipaajournal.com/silent-ransom-group-social-engineering-it-department/
