Yra kažkas ypač nejaukaus mintyje, kad įsilaužėlis ne beldžiasi į jūsų serverį per internetą, o tiesiog įeina pro ofiso duris, apsimetęs IT specialistu. Būtent tokią taktiką pastaraisiais mėnesiais naudoja „Silent Ransom Group" — kibernetinių nusikaltėlių gauja, apie kurią birželio 5 dieną bendrą įspėjimą paskelbė „Google" kibernetinio saugumo komandos ir FTB.
Ši grupė jau kelis mėnesius taikosi į teisės firmas JAV, o jų metodas — neįprastai įžūlus. Nuo sausio iki gegužės mėnesio atakuota dešimtys aukų, o kai kuriais atvejais įsilaužėliai neapsiribojo nuotoline prieiga. Jie siuntė netikrus IT darbuotojus fiziškai atvykti į advokatų kontorų biurus, kur šie prisijungdavo prie darbuotojų kompiuterių ir USB raktais arba nuotolinės prieigos įrankiais rinkdavo duomenis — sutartis, socialinio draudimo numerius, finansinius ir mokesčių įrašus.
„Mandiant tyrė įvairius atvejus, kai priešininkai infiltruodavo saviškius, papirkdavo darbuotojus arba fiziškai įeidavo į pastatus, siekdami palengvinti kibernetines atakas", — sakė „Mandiant" technologijų vadovas Charlesas Carmakalis. Jis pridūrė, kad bendrovė yra mačiusi šią taktiką ir ankstesniais metais, tačiau dabartinės kampanijos mastas išsiskiria.
// reklamaČia gali būti jūsų reklamaSusisiekite →FTB atstovas „TechCrunch" patvirtino: agentūra matė daugybę atvejų, kai asmenys apsimesdavo IT pagalba ir fiziškai bandydavo patekti į įmonių biurus. Kai pavykdavo — prisijungdavo prie kompiuterių ir pasisavindavo duomenis.
Pati schema prasideda gana tradiciškai — fišingo laiškais, kuriuose įsilaužėliai apsimeta įmonės IT skyriumi, ir tolesniais telefono skambučiais, kurių metu auka įtikinama suteikti prieigą prie kompiuterio. Tačiau „Silent Ransom Group" nuėjo toliau: kai socialinė inžinerija nepasiteisino nuotoliniu būdu, jie tiesiog atsiuntė žmogų.
Skirtingai nei tradicinės išpirkos reikalaujančios programos, ši grupė nešifruoja aukų duomenų. Vietoj to jie naudoja klasikinę šantažo schemą: pavogę duomenis, sukuria nutekinimo svetainę, kurioje grasina aukoms viešai paskelbti jautrią informaciją, o jei nesumokama — paskelbia. „Google" ataskaitoje cituojamas vienas įsilaužėlių laiškas aukai: „Ignoravimo ar susitarimo nebuvimo atveju pranešime jūsų darbuotojams, partneriams ir klientams, o po to paskelbsime jūsų duomenis."
Ši kampanija atskleidžia, kad kibernetinio saugumo perimetras jau seniai nėra vien techninis klausimas. Fizinis biuro saugumas, darbuotojų budrumas ir aiškios prieigos suteikimo procedūros tampa lygiai tokia pat svarbia gynybos linija kaip ir ugniasienės. Jei kas nors su IT specialisto ženkleliu ateina prie jūsų stalo ir sako, kad reikia skubiai sutvarkyti saugumo problemą — pirmiausia verta paskambinti savo tikram IT skyriui.
Nuo el. laiško iki fizinio apsilankymo
„Silent Ransom Group" atvejis reikšmingas dar ir tuo, kad jis žymi kibernetinių atakų evoliucijos lūžį. Tradicinė išpirkos reikalaujančių programų schema — užšifruoti duomenis ir reikalauti išpirkos už raktą — pamažu užleidžia vietą šantažo modeliui, kuriame šifravimo net nereikia. Pakanka pavogti duomenis ir grasinti jų paviešinimu.
Šis modelis atakuotojams turi aiškų pranašumą: nereikia kurti šifravimo programinės įrangos, nereikia rūpintis iššifravimo raktais, o aukoms daug sunkiau atkurti veiklą, nes duomenys jau yra įsilaužėlių rankose, nepriklausomai nuo to, ar turi atsargines kopijas.
„Google" ataskaita taip pat atskleidžia, kad grupė naudojo kelių etapų socialinės inžinerijos schemą. Pirmiausia — fišingo laiškas, prisidengiant įmonės IT skyriumi. Jei auka nereaguoja — skambutis, kurio metu apsimetėlis įtikinėja, kad reikia skubiai išspręsti saugumo problemą. Jei nepavyksta gauti nuotolinės prieigos — fizinis apsilankymas.
Tokia atkakli, daugiasluoksnė ataka prieš vidutines ir mažas teisės firmas rodo, kad kibernetiniai nusikaltėliai identifikavo advokatų kontoras kaip itin pelningą taikinį. Jose sukaupti ne tik finansiniai duomenys, bet ir jautri klientų informacija, įmonių paslaptys, teisminiai dokumentai — medžiaga, už kurios neviešinimą aukos pasiryžusios mokėti.
Kol kas nėra žinoma, ar „Silent Ransom Group" sėkmingai išnaudojo fizinės prieigos taktiką prieš Lietuvos įmones, tačiau tendencija akivaizdi: kibernetinės atakos tampa hibridinėmis, sujungiančiomis skaitmeninius ir fizinius metodus. Šaltinis teigia, kad FTB ir „Google" rekomenduoja įmonėms peržiūrėti ne tik savo IT saugumo politikas, bet ir fizinio biuro prieigos procedūras.
Dažnai užduodami klausimai
- Kaip atpažinti netikrą IT specialistą biure?
- Visada patikrinkite per oficialius vidinius kanalus prieš suteikdami prieigą. Tikras IT skyrius iš anksto praneša apie planuojamus apsilankymus. Jei asmuo spaudžia veikti skubiai ir be patvirtinimo — tai raudona vėliava.
- Ar ši grupė veikia tik JAV?
- „Google" ir FTB ataskaitos fokusuojasi į atakas prieš JAV teisės firmas 2026 metų sausio–gegužės laikotarpiu, tačiau „Mandiant" pažymi, kad panašios fizinės infiltracijos taktikos buvo stebėtos ir anksčiau, skirtingose šalyse.
