FBI waarschuwt voor stille losgeldgroep die advocatenkantoren via oplichtingsoproepen aanvalt
De FBI waarschuwt Amerikaanse advocatenkantoren voor een toenemende cyberdreiging die de juridische sector treft. Een groep genaamd Silent Ransom Group (SRG), ook wel Luna Moth of Chatty Spider genoemd, richt zich sinds begin 2023 op advocatenkantoren en gebruikt een combinatie van phishingmails en social engineering-gesprekken om toegang te krijgen tot gevoelige juridische gegevens.
Deze groep is geen nieuwkomer. SRG is sinds 2022 actief en heeft een staat van dienst in het targeten van sectoren zoals de gezondheidszorg en de verzekeringssector. Maar de laatste maanden zijn advocatenkantoren hun belangrijkste doelwit geworden, waarschijnlijk vanwege de gevoelige cliëntgegevens die deze kantoren verwerken.
In november 2023 publiceerde de FBI een waarschuwing waarin werd gewezen op het gebruik van callbackphishing door SRG om netwerken te hacken. Bij deze aanvallen verstuurt de groep phishingberichten die zijn ontworpen als niet-klikbare afbeeldingen. Deze berichten wekken vaak een vals gevoel van urgentie op en geven de ontvanger een telefoonnummer om te bellen. Deze tactiek omzeilt traditionele e-mailbeveiligingsfilters en lokt slachtoffers ertoe contact op te nemen, waarna de aanvallers hen ertoe aanzetten hun eigen systemen te hacken.
De nieuwe phishingcampagnes van SRG, die aansluiten bij hun tickets, zijn ook bedrieglijk eenvoudig. Ze versturen e-mails die lijken te komen van bedrijven die abonnementen aanbieden en waarschuwen de ontvanger voor een kleine, verdachte vergoeding. Om te annuleren, krijgen slachtoffers de instructie om een nummer in de e-mail te bellen. Tijdens dat gesprek overtuigen aanvallers het slachtoffer om software voor toegang op afstand te downloaden, waardoor SRG toegang krijgt tot de systemen van het bedrijf.
Nieuw aan deze campagne is echter dat SRG medewerkers rechtstreeks is gaan bellen, waarbij ze zich voordoen als medewerkers van de IT-afdeling van het bedrijf. Ze instrueren de medewerker om deel te nemen aan een sessie op afstand of een specifieke webpagina te bezoeken, waarbij ze wederom tools installeren die de aanvallers controle geven. Eenmaal binnen gebruiken ze tools zoals WinSCP of vermomde versies van Rclone om ongemerkt gevoelige gegevens te exfiltreren.
Nadat de gegevens zijn gestolen, stuurt SRG losgeldbrieven met de vraag om betaling om te voorkomen dat de gestolen informatie wordt vrijgegeven of verkocht. Soms bellen ze zelfs om bedrijven onder druk te zetten om te onderhandelen.
“Op dezelfde manier als in hun phishingmails, waarin ze zich voordoen als een bedrijf met een abonnement, belt SRG ook werknemers van een slachtofferbedrijf om hen onder druk te zetten om te onderhandelen over losgeld.”
De FBI
Het is opmerkelijk dat de waarschuwing van de FBI op dezelfde dag kwam dat het rapport van Cofense Intelligence van mei 2025 het wijdverbreide misbruik van Remote Access Tools (RAT's) door cybercriminele groepen onthulde. In het rapport werd ConnectWise ScreenConnect tot nu toe aangemerkt als de meest misbruikte RAT bij aanvallen in 2025.
Advocatenkantoren vormen aantrekkelijke doelwitten vanwege de aard van hun werk, zoals vertrouwelijke cliëntgegevens, bedrijfsonderhandelingen en gevoelige juridische documenten. Een inbreuk hierop kan niet alleen leiden tot financieel verlies, maar ook tot ernstige reputatieschade.
Cybercriminelen richten zich echter niet alleen sinds kort op advocatenkantoren en de waardevolle informatie die zij bezitten. In april 2022 observeerden onderzoekers oplichters die met behulp van AI-gegenereerde afbeeldingen valse identiteiten voor advocatenkantoren creëerden.
Een van de redenen waarom de campagnes van SRG effectief zijn, is dat ze gebruikmaken van legitieme tools voor systeembeheer en toegang op afstand, waardoor antivirusprogramma's minder snel worden gewaarschuwd. Hun aanvallen laten weinig sporen achter, waardoor onderzoek en bescherming na een aanval moeilijker worden.
Daarom dringt de FBI er bij iedereen, inclusief onderzoekers en zelfs slachtoffers, op aan om alle losgeldbrieven die SRG tijdens de aanvallen heeft gebruikt, te delen. Als u het telefoonnummer heeft waarmee de groep belde, het opgegeven wallet-adres of zelfs de opnames van telefoongesprekken, dan is de FBI op zoek naar die informatie.
In de waarschuwing van de FBI werd netwerkbeheerders geadviseerd op te letten op ongebruikelijke downloads van tools als Zoho Assist, AnyDesk , Splashtop, Syncro of Atera, en op onverklaarbare externe bestandsoverdrachten met WinSCP of Rclone.
Andere waarschuwingssignalen zijn onder meer onverwachte e-mails over abonnementsverlengingen, vreemde telefoontjes of voicemails met de melding van gegevensdiefstal en ongevraagd contact door mensen die zich voordoen als onderdeel van het IT-team van het bedrijf.
De Silent Ransom Group (SRG), ook bekend als Luna Moth of Chatty Spider, richt zich op advocatenkantoren. Tactieken omvatten onder andere social engineering-gesprekken met IT-medewerkers en callback-phishingmails om op afstand toegang te krijgen tot apparaten en gegevens te stelen voor afpersing. Lees meer over de IOC's en TTP's van SRG: https://t.co/ro96zjD1hA pic.twitter.com/pBAd89WaBJ
— FBI (@FBI) 23 mei 2025
De FBI adviseert om sterke aandacht te besteden aan basisprincipes op het gebied van cybersecurity. Dit omvat het trainen van personeel in het herkennen van phishingpogingen en social engineering-tactieken, en het opstellen van duidelijke interne richtlijnen voor de communicatie van het IT-team met medewerkers.
Daarnaast kunt u door sterke wachtwoorden te gebruiken in combinatie met tweefactorauthenticatie (2FA) in de hele organisatie en door regelmatig back-ups van uw gegevens te maken, de schade bij een inbreuk beperken.
HackRead
