大胆なサイバー恐喝組織が、高度に攻撃的な戦術を用いて米国の法律事務所への攻撃を激化させている。その手口は、社内ITサポートをオンラインおよび対面で偽装するというものだ。
2026年5月に機密解除されたFBI FLASHレポートによると、サイレント・ランサム・グループ(SRG)は巧妙なソーシャルエンジニアリングを駆使して、従来のサイバーセキュリティ防御を回避している。
ネットワークを暗号化する複雑なマルウェアを展開する代わりに、これらの脅威アクターは欺瞞、データ窃取、そして容赦ない恐喝によって被害者を従わせる。
サイレント・ランサム・グループは、研究者たちにLuna Moth、Chatty Spider、UNC3753として追跡されており、2023年初頭から一貫して法律事務所を標的にしている。
従来のランサムウェア攻撃者とは異なり、SRGのアクターはファイルをロックするペイロードを展開しない。その主な目的は、迅速な初期アクセス、即時のデータ流出、そして高圧的な恐喝である。
彼らは窃取した機密データを武器として、専用のリークサイト「business-data-leaks.com」への公開を脅しに使い、さらに被害を受けた事務所のクライアントに直接電話をかけて身代金交渉を強要する。
2026年春の時点で、SRGは高度に局所化されたITサポート偽装スキームへと移行している。脅威アクターはフィッシングメールまたは直接の電話で接触を開始し、従業員に対して偽のITヘルプデスクへの接続を積極的に促す。
電話がつながると、攻撃者は従業員を操作して正規のリモート管理ツールをインストールさせ、組織にインタラクティブなリモートデスクトップセッションへのアクセスを与えてしまう。
デジタルによるソーシャルエンジニアリングが失敗した場合、SRGは物理的な侵入へとエスカレートする。グループは実際に工作員を標的企業のオフィスに派遣する。
IT担当者を装った攻撃者は、セキュリティアラートを解決するためにデバイスのイメージングが緊急に必要だと主張する。そして被害者のコンピュータにUSBまたは外付けハードドライブを直接挿入し、高度に機密性の高いデータを手動で抽出する。
アクセスが確保されると、SRGは最小限の権限昇格を行い、直ちにデータの流出を開始する。グループは通常、窃取したファイルをGoogle DriveやMicrosoft OneDriveなどの内部クラウド共有プラットフォームに転送する。
また、WinSCPやRcloneの偽装バージョンなどのツールを使用して外部サーバーも活用する。
IC3の調査によると、SRGは正規のシステム管理ソフトウェアと有効なクラウド環境に大きく依存しているため、従来のウイルス対策ソリューションではその侵入を検知できないことが多い。
セキュリティチームは、この脅威を阻止するために、行動監視、厳格なアクセスポリシー、そして強固な物理的セキュリティに頼らなければならない。
SRGの活動を検知した組織や身代金要求の通信を傍受した組織は、地元のFBI支局に事案を報告することが強く奨励されている。
進行中の捜査を支援するために、身代金要求のメモ、フィッシングメール、または偽のIT担当者の物理的な監視映像を保全することが極めて重要である。
翻訳元: https://cyberpress.org/silent-ransom-targets-firms/