出典:Liubomyr Vorona / Alamy Stock Photo
サイレント・ランサム・グループ(SRG)は、ITスタッフになりすましてソーシャルエンジニアリングにより法律事務所を標的にしている。場合によっては、脅威アクターが被害者の前に直接姿を現すこともある。
FBIのインターネット犯罪苦情センター(IC3)は昨日、SRGが2023年春から法律事務所を標的にしているとの警告を発表した。このグループは2022年から活動しており、保険、金融、医療など他の分野でも被害を出している。
SRG — Luna Moth、Chatty Spider、UNC3753 とも呼ばれる — はさまざまな手口で法律事務所を狙っている。FBIの勧告によると、SRGの攻撃者は電話やフィッシングメールでITサポートを装い、「被害者のコンピューターへのアクセスを確立してデータを窃取する。その手段は、正規のリモートアクセスツールを使用するか、または個人を被害企業の所在地に直接派遣してコンピューターへの物理的なアクセスを得ること」とされている。
Halcyonのランサムウェア研究センター上級副社長のシンシア・カイザー氏は、Dark Readingに対し、Halcyonが2026年の最初の数カ月間において法律部門をランサムウェア攻撃者による標的業種の第4位と特定したと語った。「法律事務所は、クライアントデータの機密性、インシデントを迅速に解決するための規制上のプレッシャー、そして弁護士・依頼人間の特権や機密案件資料を守るために身代金を支払う意向があると見なされていることから、魅力的な標的となっています」と同氏は述べた。
SRGはデータ窃取による恐喝攻撃で知られており、脅威アクターがデータを盗んでランサムウェア攻撃と同様の身代金要求を行うが、当初ランサムウェアを定義していた暗号化の工程を省略する。こうしたケースでは、攻撃者はデータを流出させると脅し(通常はダークウェブのリークサイトや他のサイバー犯罪者への売却を通じて)、それを利用して被害者に圧力をかける。
当初、攻撃者は被害者が何らかのサブスクリプション料金を滞納しているとするフィッシングメールを送付していた。存在しないサブスクリプションを解約するために、被害者は脅威アクターに電話するよう指示され、その後リモートアクセスソフトウェアのダウンロードリンクが送られてくる。攻撃者がリモート接続に成功すれば、脆弱性の悪用や複雑な攻撃チェーンは不要となる。
サイレント・ランサム・グループの戦術が進化
FBIは、攻撃手法が最近拡大していると指摘している。SRGの攻撃者は被害者のIT部門の従業員を装い、電話やメールで被害者に連絡し、偽の従業員にリモートデスクトップセッションへのアクセスを許可するよう求める。それが失敗した場合、「SRGは脅威アクターを被害者の所在地に派遣し、被害者のコンピューターにストレージデバイスを挿入してアクセスを得る」という。
「このスキームでは、脅威アクターは被害者に対し、フィッシングメールによる潜在的な影響に対処するためにデバイスのイメージングやバックアップファイルの作成が必要だと告げる」とFBIは述べた。「脅威アクターが被害者のデバイスへのアクセスを得ると、最小限の権限昇格にとどめ、暗号化を行わずに迅速にデータ窃取へと移行する。」
そのために、脅威アクターはWindows Secure Copy(WinSCP)や、オープンソースのコマンドラインプログラムでファイルの管理と同期を行うRcloneの隠蔽版または名称変更版を使用する。状況に応じて、データはGoogle DriveやMicrosoft OneDriveなどのファイル共有プラットフォーム、または脅威アクターが被害者のコンピューターに挿入した外付けハードドライブやUSBドライブなどの物理ディスクに窃取される。
カイザー氏は、直接現場に赴く脅威活動への移行を「非常に稀で懸念すべき動向」と呼んでいる。SRGはこれまでプロフェッショナルな英語話者のコールセンター要員を活用してきたからだ。
サイレント・ランサム・グループについて、カイザー氏はさらに、このグループはこれまでに逮捕者もインフラの妨害も受けておらず、ロシアを拠点としている可能性が高いと付け加えた。それを踏まえると、直接法律事務所を標的にする動きは二重に奇異に映るが、FBIは被害を受けた法律事務所の所在地については詳細を明らかにしていない。
サイレント・ランサム・グループへの対抗策
データが盗まれると、攻撃者は被害者に脅迫メールを送り、データを公開サイトに売却または掲載すると脅す。SRGはまた、被害者組織の従業員や顧客に電話をかけ、支払いを求める圧力をかけることもある。
SRG攻撃の兆候としては、システム管理ツールやリモートアクセスツールの不審な新規ダウンロード、USBドライブや外付けハードドライブの無許可接続、外部IPアドレスへのWinSCPまたはRclone接続、またはITサポートを名乗って身分不明の不審者がコンピューターへのアクセスを試みることなどが挙げられる。
ソーシャルエンジニアリング攻撃は目新しいものではないが、新たなソーシャルエンジニアリングの手口が登場した際には、組織として真剣に注意を払う必要がある。Verizonの2026年データ漏洩調査報告書では、ソーシャルエンジニアリングが侵害の手口として3番目に多いことが示されており、攻撃者がSRGのような手法で引き続き成果を上げていることが明らかになった。
FBIは組織に対し、社員証のコピー取得を含む社内への入室者全員の身元確認、できる限り多くのサービスへのフィッシング耐性を持つ多要素認証(MFA)の義務付け、フィッシングの識別・抵抗・報告に関する従業員トレーニング、そして「可能であれば、機密データや秘匿情報にアクセスできる社内コンピューターのリモートアクセスおよび外部ドライブのインストール権限を無効にすること」を推奨している。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/ransomware-actors-steal-law-firm-data
