СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
9 июня
#ИБ

Ваши офисы не защищены от хакеров — эксперты предупреждают о группе Silent Ransom Group, взламывающей корпоративные ПК для запуска программ-вымогателей

Ваши офисы не защищены от хакеров — эксперты предупреждают о группе Silent Ransom Group, взламывающей корпоративные ПК для запуска программ-вымогателей

изображение: grok

Киберпреступная группировка Silent Ransom Group освоила тактику физического проникновения в офисы организаций для прямого копирования корпоративных данных, и эта схема вполне применима к российскому бизнесу. С января по май 2026 года злоумышленники атаковали десятки компаний в США, сделав ставку на социальную инженерию и личное присутствие вместо технических взломов. Об этом сообщили специалисты Google Mandiant и Google Threat Intelligence Group, подтвердив более раннее предупреждение ФБР.

Атаки пока зафиксированы в США, где целями стали финансовый сектор, юридические фирмы и консалтинговые компании. Российские отраслевые эксперты уже несколько лет фиксируют рост числа атак с применением социальной инженерии против отечественного бизнеса, поэтому опыт SRG представляет прямой практический интерес для служб безопасности российских корпораций.

Группировка работает с 2022 года и известна под разными именами в международных отчётах:

  • Silent Ransom Group, под которым группа фигурирует в большинстве публикаций;
  • Chatty Spider, используемый отдельными аналитическими командами;
  • Luna Moth, встречающийся в материалах о связанных кампаниях;
  • UNC3753, технический идентификатор от Google Mandiant.

Схема начинается со звонка. Преступники представляются сотрудниками внутренней ИТ-службы или технической поддержки и убеждают работника установить программу удалённого доступа. Похожие сценарии давно используют мошенники, атакующие клиентов российских банков и сотрудников отечественных компаний под видом службы безопасности. Разница лишь в цели — SRG интересуют не деньги физических лиц, а корпоративные базы данных.

Стоит обратить внимание, что для проникновения в корпоративную сеть преступникам не требуются дорогие эксплойты или уязвимости нулевого дня. Достаточно одного убедительного телефонного разговора с не самым внимательным сотрудником, и подобный подход одинаково эффективен против американских юристов и против сотрудников российских компаний среднего звена.

Главная новизна тактики SRG лежит в офлайн-составляющей. По данным ФБР, участники группы лично приезжают в офисы компаний-жертв, выдают себя за подрядчиков или техников и подключают внешний накопитель к компьютеру сотрудника. Копирование происходит за несколько минут, после чего человек спокойно покидает здание с украденной информацией на USB-носителе. Для российских реалий это особенно актуально с учётом распространённой практики аутсорсинга ИТ-обслуживания, когда в офис регулярно приходят внешние специалисты, которых никто из сотрудников лично не знает.

Подобная тактика опасна по нескольким причинам:

  • большинство российских компаний строят защиту вокруг периметра сети и почтовых фильтров, оставляя физический доступ слабым звеном;
  • охрана и ресепшен в бизнес-центрах редко проверяют документы у тех, кто называется сотрудником ИТ-подрядчика;
  • системы DLP не всегда фиксируют копирование данных на съёмные носители в обычное рабочее время;
  • сотрудники привыкли доверять людям в форменной одежде с бейджами и пропусками.

После выгрузки данных начинается стандартная для современных вымогателей фаза давления. Руководству жертвы поступает требование на выкуп, а в случае отказа преступники создают отдельный сайт с обратным отсчётом, образцами украденных документов и заявлением о взломе. Российские компании в последние два года всё чаще сталкиваются с подобными утечками, при этом украденные базы данных нередко выкладываются в открытый доступ на теневых площадках без всякого выкупа.

Интересно, что в отличие от классических шифровальщиков, SRG почти никогда не блокирует системы жертвы. Группа делает ставку исключительно на угрозу публикации данных, и российский бизнес здесь оказывается в уязвимом положении, поскольку штрафы за утечку персональных данных по обновлённому законодательству Российской Федерации могут достигать сотен миллионов рублей.

Юридический сектор остаётся приоритетной целью SRG, и для российских адвокатских бюро и консалтинговых фирм это серьёзный сигнал. Подобные организации хранят материалы по корпоративным спорам, слияниям, банкротствам и уголовным делам состоятельных клиентов. Утечка таких документов наносит репутации удар гораздо сильнее самого факта взлома, а на отечественном рынке последствия часто усугубляются вниманием со стороны надзорных органов.

Аналитики неоднократно фиксировали пересечения SRG с другими известными преступными проектами:

  • инфраструктурное сходство с операциями BazarCall, где активно применялся обзвон жертв;
  • кадровые связи с бывшими операторами шифровальщика Conti;
  • технические артефакты, ранее встречавшиеся в атаках Ryuk;
  • использование call-центров для первичного контакта с жертвами.

Связи с Conti представляют для российской аудитории отдельный интерес. Группировка Conti исторически имела заметное русскоязычное ядро, и после её распада в 2022 году многие участники перераспределились по новым проектам. Среди них вполне могут оказаться и операторы Silent Ransom Group, что косвенно подтверждается уровнем владения английским языком в зафиксированных телефонных переговорах с американскими жертвами.

Ранее сообщалось, что число атак программ-вымогателей на российские организации начало снижаться впервые за последние четыре года. По данным за январь–май 2026 года, количество подобных инцидентов оказалось примерно на 20% ниже по сравнению с аналогичным периодом ранее. При этом специалисты отмечают, что финансовые требования злоумышленников остаются крайне высокими и в отдельных случаях достигают нескольких миллионов долларов. Эксперты считают, что текущая динамика еще не свидетельствует об окончательном изменении ситуации и требует дальнейшего наблюдения.

Эксперты редакции CISOCLUB говорят, что случай Silent Ransom Group должен стать поводом для пересмотра подходов к корпоративной защите в российских компаниях. Технические средства защиты периметра без работы с персоналом и без контроля физического доступа дают ложное чувство безопасности, а отечественный бизнес исторически уделяет именно этим направлениям недостаточно внимания.

Регулярные тренинги по социальной инженерии на русском языке с актуальными для российских реалий легендами, верификация любых ИТ-подрядчиков через обратный звонок руководителю отдела, строгий учёт посетителей в бизнес-центрах и блокировка несанкционированного подключения USB-устройств — минимальный набор мер, который снижает риск подобных атак. Особое внимание стоит уделить юридическим и консалтинговым организациям, банкам и крупным промышленным холдингам, поскольку именно их данные представляют наибольшую ценность для современных вымогателей. Корпоративная безопасность давно перестала быть исключительно задачей ИТ-отдела и требует совместной работы юристов, HR-службы и охраны.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: