ФБР предупреждает юридические фирмы США об угрозе группировки Silent Ransom Group, которая крадёт данные лично

Группировка Silent Ransom Group — давно действующая операция по вымогательству данных — продолжает атаковать американские юридические фирмы, выдавая себя за IT-поддержку и в ряде случаев физически приходя к жертвам для получения доступа к их компьютерам. Об этом ФБР сообщило во вторник.

Кто такие Silent Ransom Group?

Группировка, также известная как Chatty Spider, UNC3753 и Storm-0252, предположительно действует из России и возникла в 2022 году после распада Conti. На её счету — ответственность более чем за 100 атак, при этом активность резко возросла в последние несколько месяцев.

В отличие от большинства группировок-вымогателей, Silent Ransom Group не шифрует файлы — её цель исключительно кража данных и последующее вымогательство. Сочетание социальной инженерии и личных визитов к жертвам — уникальная тактика, не имеющая аналогов в киберпреступном мире.

Почему именно юридические фирмы?

Юридические фирмы — исключительно привлекательная мишень: кража данных создаёт огромные проблемы с адвокатской тайной и репутацией, что формирует у злоумышленников убеждение о готовности жертв платить крупные суммы. В первом квартале 2026 года компания Halcyon зафиксировала 134 инцидента с программами-вымогателями против юридических фирм — это более 6% всех атак за период.

«Silent была первой группой, которая целенаправленно атаковала именно юридические фирмы, прекрасно понимая, что наиболее болезненно для организаций в этом секторе. Сама кража данных — главная проблема для них, поэтому группа выстраивает операции вокруг знания об отрасли.»

— Синтия Кайзер, старший вице-президент Halcyon Ransomware Research Center

Как работает схема атаки?

Атака начинается со звонков или фишинговых писем, побуждающих сотрудников связаться с «представителем IT-поддержки» — роль которого играет сообщник группировки. Если получить удалённый доступ к компьютеру не удаётся, группировка отправляет человека непосредственно на рабочее место жертвы — для физического подключения накопителя к компьютеру.

«Людям на рабочем месте необходимо доверять другим, чтобы выполнять свою работу. Ставить под сомнение всё и всех вносит значительное трение и недоверие в рабочую среду. Преступники продолжат эксплуатировать человеческие слабости, и перекладывать всю ответственность за защиту на сотрудников — несправедливо и неразумно.»

— Джо Словик, директор Dataminr

Кто приходит к жертвам?

ФБР не раскрывает подробностей о людях, осуществляющих визиты. Однако исследователи предполагают, что группировка использует фрилансеров или субподрядчиков, которые могут и не осознавать в полной мере, что совершают преступление.

«Это что-то вроде курьера Doordash, который доставляет еду из Arby’s. Ты понимаешь, что делаешь что-то плохое, но тебе за это платят.»

— Аллан Листка, CISO Recorded Future

Как защититься?

ФБР рекомендует юридическим фирмам:

• Проверять личность любого человека, представляющегося IT-специалистом — как по телефону, так и при личном визите
• Не предоставлять удалённый доступ к компьютеру по непрошеным звонкам
• Не подключать к компьютеру неизвестные USB-накопители и устройства
• Проводить регулярные тренинги для сотрудников по противодействию социальной инженерии

Вывод: Silent Ransom Group демонстрирует, что киберпреступность давно вышла за рамки цифрового мира. Физические визиты к жертвам — принципиально новый уровень угрозы, к которому большинство организаций попросту не готовы.