Un gang de ransomwares a intensifié ses attaques contre les cabinets d’avocats en envoyant parfois de faux informaticiens en personne dans les bureaux des victimes, où les imposteurs volent des données directement sur les ordinateurs des victimes à l’aide de clés USB ou aident d’autres membres du gang à se connecter à distance aux ordinateurs, selon Google et le FBI.
Vendredi, les équipes de cybersécurité de Google, Mandiant et Google Threat Intelligence Group, ont publié un nouveau rapport accusant le gang de cybercriminels connu sous le nom de Silent Ransom Group d’avoir tenté de voler les informations des victimes « en utilisant un accès physique en personne » lors d’attaques de janvier à mai de cette année qui ont ciblé « des dizaines » de victimes.
« Mandiant a enquêté sur diverses affaires dans lesquelles des adversaires ont implanté des internes, enlevé des employés ou pénétré physiquement dans des bâtiments pour faciliter des cyberattaques », a déclaré Charles Carmakal, directeur de la technologie de Mandiant, à TechCrunch dans un communiqué, ajoutant que l’entreprise avait également vu cette tactique utilisée dans d’autres cas au fil des ans.
Le mois dernier, le FBI a publié une alerte indiquant que Silent Ransom Group ciblait des cabinets d’avocats avec des attaques d’ingénierie sociale et de phishing prétendant être des employés du support informatique. Mais dans certains cas, le groupe a envoyé de faux services informatiques personnels aux bureaux des victimes, où elles se sont connectées aux ordinateurs des employés et ont utilisé des clés USB ou des outils d’accès à distance pour voler des données telles que des contrats, des informations personnelles telles que des numéros de sécurité sociale et des dossiers financiers et fiscaux.
Un porte-parole du FBI a déclaré à TechCrunch : « Nous pouvons confirmer que nous avons vu plusieurs cas d’individus usurpant l’identité d’un support informatique qui ont obtenu ou tenté d’obtenir un accès physique en personne aux bureaux et/ou appareils des entreprises victimes dans le cadre du plan d’exfiltration de données de Silent Ransom Group. »
Dans ce qui est désormais une tactique d’extorsion courante – qui n’implique pas réellement le cryptage des données des victimes comme dans les attaques de ransomwares traditionnelles – le gang dispose de son propre site de fuite, où il menace les victimes de publier leurs données volées, puis les publie si la victime ne paie pas.
Contactez-nous
Avez-vous plus d’informations sur ces campagnes de piratage ? Ou d’autres violations de données ? Nous aimerions avoir de vos nouvelles. À partir d’un appareil et d’un réseau non professionnels, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Cela se produit souvent après que les pirates ont envoyé directement un e-mail aux victimes pour les menacer.
« En cas d’ignorance ou d’absence d’accord, nous informerons vos employés, partenaires et clients, après quoi nous publierons vos données », ont écrit les pirates à une victime, selon Google.
Selon le rapport de Google, les pirates utilisent également des méthodes plus traditionnelles, telles que les e-mails de phishing, les appels téléphoniques de suivi et l’ingénierie sociale. Les cybercriminels prétendent être le support informatique de l’entreprise pour inciter les victimes à accorder l’accès à leurs ordinateurs.
« Les appelants utilisent diverses instructions verbales pour guider le comportement de la cible. Sous couvert de résoudre un problème de sécurité ou de contribuer à un projet de migration de données d’entreprise, ils renforcent la confiance et incitent la cible à rejoindre une session de partage d’écran », ont écrit les chercheurs de Google. Les pirates contournent ensuite les contrôles de sécurité en convainquant les victimes de télécharger et d’ouvrir des applications de partage d’écran, ou en utilisant les fonctionnalités de partage d’écran dans des applications comme Zoom ou Microsoft Teams.
Alors que les pirates informatiques volent la plupart du temps des données à distance via des logiciels malveillants ou des attaques de phishing, ces cas montrent que certains pirates sont désormais prêts à pousser leurs crimes encore plus loin, en mélangeant les techniques de piratage traditionnelles avec des intrusions physiques dans ce qui constitue une escalade nouvelle et significative.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
