Google и Федеральное бюро расследований США (FBI) предупредили, что группа вымогателей под названием Silent Ransom Group усиливает атаки на американские юридические фирмы. Помимо распространенных фишинговых писем и социальной инженерии, в некоторых случаях эта группа отправляет людей, выдающих себя за сотрудников IT-поддержки, чтобы проникнуть в офисы жертв, получить прямой доступ к компьютерам и украсть данные.
Атаки эскалировались от удаленного обмана к личному контакту
В последнем отчете Google旗下 Mandiant и Google Threat Intelligence Group сообщили, что с января по май этого года группа провела атаки на десятки жертв, используя методы, включающие получение доступа через «оффлайн-личное взаимодействие».
ФБР также выпустило предупреждение в прошлом месяце, что эта группа выдает себя за сотрудников корпоративной ИТ-поддержки и через телефонные звонки, электронные письма и другие способы побуждает сотрудников выполнять определенные действия. В некоторых случаях мошенники проникают в офисы, подключаются к устройствам сотрудников и используют USB-накопители или инструменты удаленного доступа для переноса данных.
Целевые данные включают контракты, налоговые и личную информацию
Согласно данным, раскрытым Google и FBI, похищенная информация включала контрактные документы, номера социального страхования и другие персональные идентификаторы, а также финансовые и налоговые записи. Эта информация затем использовалась для вымогательства.
В отличие от традиционного ransomware, такие атаки не обязательно шифруют системы жертв. Эта группа чаще всего сначала крадет данные, а затем угрожает их публичным обнародованием, требуя от жертв оплаты.
- Время атаки: январь–май 2026 года
- Основная цель: американские юридические фирмы и другие учреждения
- Распространённые методы: выдача себя за техническую поддержку, общий доступ к экрану, кража через USB, удалённый контроль
Использование «проблем с безопасностью» для установления доверия с последующим кражей
Google сообщает, что злоумышленники обычно связываются с сотрудниками, утверждая, что помогают с обработкой инцидентов безопасности или миграцией корпоративных данных, чтобы убедить их присоединиться к сеансу совместного использования экрана. Затем злоумышленники убеждают жертв загрузить и запустить программное обеспечение для совместного использования экрана или напрямую используют встроенные функции таких приложений, как Zoom и Microsoft Teams, чтобы получить контроль.
Google отметила, что такие случаи демонстрируют, что некоторые хакеры объединяют традиционные кибератаки с физическим контактом в реальном мире, что еще больше усложняет защиту для предприятий. Для организаций, зависящих от внешней IT-поддержки и имеющих слабые внутренние процедуры проверки, риск таких атак с подменой особенно высок.