Een ongekende stap in ransomware‑aanvallen
Cybercriminelen uit de zogenaamde Silent Ransom Group hebben hun tactiek naar een nieuw niveau getild. In plaats van uitsluitend te vertrouwen op digitale phishing‑mails of malware, sturen ze soms nep‑IT‑medewerkers recht naar de vestigingen van hun doelwitten. Een combinatie van sociale manipulatie, fysieke infiltratie en traditionele hacking maakt hun aanpak bijzonder gevaarlijk, vooral voor advocatenkantoren die vaak gevoelige cliëntgegevens bewaren.
Fysieke toegang: hoe de nep‑IT‑personage werkt
Volgens een gezamenlijk rapport van Google’s Mandiant‑team en de Google Threat Intelligence Group, en een waarschuwing van de FBI, verstuurde de bende tussen januari en mei dit jaar meerdere “valse” IT‑ondersteuners naar de kantoren van hun slachtoffers. Eenmaal binnen kwamen de infiltranten met USB‑sticks of draagbare tools in contact met de computers van medewerkers. Via deze directe verbinding konden ze data downloaden, backdoors installeren of andere gangleden remote toegang geven. De fysieke aanwezigheid maakt het voor de doelwitten lastiger om de aanval te herkennen, omdat het vaak wordt aangezien voor legitieme onderhoudswerkzaamheden.
Traditionele digitale trucs blijven een rol spelen
De Silent Ransom Group beperkt zich niet tot de zogeheten “doorbraak‑in‑het‑kantoor”. Ze blijven ook gangbare phishing‑campagnes uitvoeren, waarbij ze zich voordoen als IT‑support om medewerkers te verleiden tot het openen van schadelijke scherm‑deelapplicaties of het installeren van remote‑access‑software. Telefonische gesprekken en sociaal‑engineeringsmethoden worden ingezet om het vertrouwen te winnen. Een voorbeeld: onder het mom van een noodzakelijke beveiligingsupdate worden slachtoffers aangemoedigd een Zoom‑ of Teams‑sessie te starten, waarna de hackers de controle overnemen.
Extorsie‑model zonder encryptie
In tegenstelling tot klassieke ransomware, die bestanden versleutelt en losgeld eist voor de ontsleutelsleutel, werkt Silent Ransom Group met een datalek‑dreigement. Ze hosten een eigen leksite en waarschuwen de slachtoffers dat hun vertrouwelijke documenten – contracten, belastinggegevens, SSN‑nummers – gepubliceerd zullen worden als er niet betaald wordt. Vaak volgt dit na een directe e‑mail waarin staat: “Bij ignoreren of geen akkoord, informeren we uw medewerkers, partners en klanten, waarna we uw data publiceren.” Deze vorm van “double‑extortion” drukt extra druk op de organisatie om te betalen.
Wat bedrijven kunnen doen
De waarschuwingen van Google en de FBI benadrukken het belang van een gecombineerde fysieke en digitale beveiligingsstrategie. Bedrijven moeten hun bezoekersregistratie én hun interne IT‑ondersteuningsprocessen strakker controleren. Het verifiëren van de identiteit van alle externe technici, het beperken van USB‑gebruik en het monitoren van ongebruikelijke netwerkactiviteit zijn cruciale stappen. Daarnaast blijft training van personeel tegen social engineering onmisbaar.
