- Ключевые выводы
- Что заставило «Тихую» вымогательскую группу выйти из тени?
- Как выглядит типичная схема атаки?
- Почему юридические фирмы стали приоритетной целью?
- Что делают Google и FBI, чтобы остановить угрозу?
- Практические шаги для юридических фирм
- 1. Жёсткая проверка личности ИТ‑персонала
- 2. Ограничьте привилегии
- 3. Обучение по социальному инженерству
- 4. Технические меры
- 5. План реагирования на инциденты
- Как работает модель «угроза‑вымогательство без шифрования»?
- Справка
Ключевые выводы
- Группа Silent Ransom использует не только электронные, но и физические методы — поддельных ИТ‑служащих, которые входят в офисы жертв.
- С помощью USB‑накопителей и удалённого доступа они крадут контракты, номера соцстрахования и финансовые документы.
- Модель «угроза‑вымогательство без шифрования» подразумевает публикацию данных, если выкуп не выплачен.
В последнее время киберпреступники всё чаще «выходят наружу»: они сначала собирают информацию онлайн, а потом уже лично подходят к целям, используя обманные визиты в офис. Это меняет правила игры для ИТ‑безопасности юридических фирм.
Что заставило «Тихую» вымогательскую группу выйти из тени?
В начале 2024 года Google совместно с Mandiant выпустили отчёт о серии атак на американские юридические фирмы. По их данным, с января по май группа, известная как Silent Ransom Group, прибегала к «физическому доступу» — сотрудники‑импосторы приходили в офис под видом ИТ‑поддержки, подключали свои ноутбуки к рабочим станциям жертв и копировали файлы на USB‑накопители.
Похожий случай подтвердил и ФБР в своём предупреждении за июнь 2026 года. Агентство отметило, что в нескольких инцидентах злоумышленники использовали поддельные бейджи и официальные визитки, а иногда даже брали с собой «служебные» ноутбуки, чтобы установить удалённый доступ к сетям клиентов.
Эти действия — комбинация традиционного фишинга и «домашних» атак, когда преступники буквально «зашивают» вражеские коды в офисные кабели и USB‑устройства.
Как выглядит типичная схема атаки?
1. Разведка онлайн. Хакеры собирают публичные сведения о фирме: структуры, имена ИТ‑специалистов, используемое ПО.
2. Социальный инженеринг. Жертве отправляют письмо от «поддержки», в котором якобы требуется срочная проверка безопасности или миграция данных.
3. Физический визит. При отсутствии ответа злоумышленник приходит в офис, представляется сотрудником ИТ‑службы, часто с поддельным бейджем.
4. Подключение устройства. Через USB‑накопитель или собственный ноутбук он внедряет скрипты, открывает RDP‑сессии или запускает удалённый экран‑шаринг (Zoom, Teams).
5. Эксплуатация. Скачивание контрактов, финансовых отчётов, данных клиентов, номеров соцстрахования.
6. Угроза и вымогательство. Группа публикует «утёк» на своём leak‑сайте и требует выкуп, угрожая публичным раскрытием данных.
Почему юридические фирмы стали приоритетной целью?
Юридические компании хранят конфиденциальные материалы (сделки, судебные стратегии, персональные данные клиентов). Один утёк может обернуться крупными штрафами, потерей репутации и судебными исками.
Кроме того, многие юридические фирмы используют старое ПО и часто полагаются на внешний ИТ‑аутсорсинг, что делает их уязвимыми к «фишинг‑как‑ИТ‑поддержка». Как заметил Чарльз Кармакал, CTO Mandiant, такие тактики применялись уже в прошлом, но теперь они стали систематическими.
Что делают Google и FBI, чтобы остановить угрозу?
Google Threat Intelligence Group и Mandiant публикуют технические детали атак, предоставляют индикаторы компромисса (IOCs) и рекомендации по защите. В документе Google отмечается, что важно обучать сотрудников распознавать подозрительные запросы и проверять личность ИТ‑персонала.
ФБР же советует регулярно проводить физический аудит доступа: проверять бейджи, фиксировать всех посетителей в системе «visitor management», а также использовать многофакторную аутентификацию (MFA) даже для локального доступа к рабочим станциям.
Практические шаги для юридических фирм
1. Жёсткая проверка личности ИТ‑персонала
Требуйте официальные служебные карты, проверяйте их подписи с базой HR. Запрещайте подключать внешние USB‑устройства без предварительной проверки.
2. Ограничьте привилегии
Каждому сотруднику дайте только те права, которые необходимы для работы. Включите роль‑основанный контроль доступа (RBAC) и временные токены для удалённого доступа.
3. Обучение по социальному инженерству
Регулярно проводите «фишинг‑тесты», демонстрируя примеры имитации ИТ‑поддержки. Делайте упор на то, что «никогда не открывайте ссылки и не подключайте USB без подтверждения.
4. Технические меры
- Включите блокировку автозапуска USB.
- Разверните EDR‑решения, способные обнаруживать неизвестные процессы, связанные с удалённым экран‑шарингом.
- Настройте мониторинг аномального сетевого трафика (RDP‑подключения из неизвестных IP).
5. План реагирования на инциденты
Разработайте сценарий «физический доступ + кража данных», включающий изоляцию заражённого оборудования, уведомление правоохранительных органов и подготовку публичного заявления.
Как работает модель «угроза‑вымогательство без шифрования»?
В отличие от традиционного ransomware, здесь преступники не шифруют файлы. Они просто копируют их, размещают на своём leak‑сайте и угрожают раскрытием, если выкуп не будет выплачен. Это снижает техническую сложность, но повышает моральный прессинг на жертву, ведь утечка конфиденциальной информации может стоить фирме гораздо дороже, чем выкуп.
Группа поддерживает собственный сайт‑лэйк, где публикует «прототипы» утёков, демонстрируя, что у неё действительно есть доступ к реальным документам. Такие «демонстрационные» публикации усиливают страх и подталкивают к быстрой оплате.
Справка
Silent Ransom Group — международная киберпреступная организация, известная своими атаками на юридические и финансовые компании. Группа использует комбинацию фишинга, социального инженерства и физического доступа; её деятельность раскрыта в отчётах Google, Mandiant и ФБР.
Mandiant — подразделение компании Google, специализирующееся на киберразведке и реагировании на инциденты. Было основано в 2004 году, позже приобретено Google в 2022 году.
Google Threat Intelligence Group — команда аналитиков, занимающихся сбором threat‑intel, публикацией отчётов о новых угрозах и предоставлением рекомендаций клиентам.
ФБР (Federal Bureau of Investigation) — федеральное агентство США, отвечающее за расследование киберпреступлений, среди которых – акции Silent Ransom Group.
USB‑накопитель — портативное устройство хранения данных, часто используемое в атаках физического доступа для эксfiltration (выкачивания) конфиденциальных файлов.
Если ваша фирма хранит ценные документы, стоит воспринимать каждый визит в офис как потенциальную угрозу. Обучение сотрудников, строгий контроль USB‑устройств и быстрый план реагирования могут спасти репутацию и финансы.
