Célzott kampány az ügyvédi irodák ellen
Az FBI figyelmeztetése után a Google Threat Intelligence Group technikailag is bemutatja az UNC3753 (Luna Moth, Silent Ransom Group, Chatty Spider) csoport tevékenységét, ami 2025 végétől új kampányt indított, amely kifejezetten amerikai ügyvédi irodákat vesz célba. A csoport működése jelentősen eltér a klasszikus zsarolóvírus-műveletektől, nem alkalmaz fájltitkosítást, hanem kizárólag adatlopásra és az adatok nyilvánosságra hozatalával történő zsarolásra épít.
A támadási lánc általában nagyszámú telefonhívással kezdődik. A támadók informatikai támogatónak, helpdesk-munkatársnak vagy külső szolgáltatónak adják ki magukat, és azt állítják, hogy a felhasználó számítógépén biztonsági vagy előfizetési probléma merült fel. A beszélgetés során ráveszik az áldozatot, hogy egy legitim távoli menedzsment szoftvert – például AnyDesk, Zoho Assist, Splashtop, Atera, Syncro vagy Quick Assist – telepítsen, amellyel közvetlen hozzáférést kapnak a rendszerhez.
A Google szerint a csoport sajátossága, hogy szinte kizárólag legitim adminisztrációs eszközöket használ, ezért a hagyományos vírusvédelmi és EDR-megoldások gyakran nem érzékelnek rosszindulatú tevékenységet. A hozzáférés megszerzése után a támadók gyors felderítést végeznek, hálózati megosztásokat keresnek, majd nagy mennyiségű adatot másolnak ki. Az adatlopás során jellemzően Rclone, WinSCP, illetve egyéb fájlszinkronizáló eszközöket használnak.
A GTIG kiemeli, hogy a csoport különösen az ügyvédi irodákat részesíti előnyben, mivel azok nagy mennyiségű bizalmas vállalati, pénzügyi, peres és szellemi tulajdonhoz kapcsolódó dokumentumot kezelnek. Az ilyen adatok nyilvánosságra hozatala komoly üzleti és reputációs kockázatot jelent az áldozatok számára, ezért a támadók titkosítás nélkül is jelentős váltságdíjat tudnak követelni.
A jelentés szerint az UNC3753 az elmúlt hónapokban finomította pszichológia megtévesztési technikáit. A telefonhívások professzionálisak, a támadók előzetesen nyilvánosan elérhető információkat gyűjtenek a célpontról, és gyakran valós IT-folyamatokra vagy ismert szoftverekre hivatkoznak. Egyes esetekben a kapcsolatfelvételt e-mail vagy SMS is megelőzi, amely tovább növeli a művelet hitelességét.
A Google különösen fontosnak tartja a helpdesk-folyamatok szigorú hitelesítését, a távoli adminisztrációs eszközök használatának korlátozását, valamint a felhasználók rendszeres social engineering képzését.
