Silent Ransom Group koristi DNS fast flux tehniku za prikrivanje svojih servera
Silent Ransom Group koristi DNS fast flux mrežu zaraženih uređaja za skrivanje infrastrukture i nastavlja napade na firme kroz social engineering.
Šta se desilo?
Grupa nazvana Silent Ransom Group (poznatija i kao Chatty Spider, Luna Moth ili UNC3753) aktivno koristi sofisticiranu tehniku DNS fast flux-a kako bi sakrila vebsku infrastrukturu koju koristi u svojim napadima. Ova grupa je specijalizovana za pretrnje podataka i ekstorziju, a za skrivanje svojih servera koristi botnet od zaraženih rutера, modema i ostalih IoT uređaja raspoređenih u 18 zemalja.
Koga pogađa?
Posebno se targetira pravničke firme - one čine gotovo četvrtinu svih ransomware incidenata u prvoj četvrtini 2026. godine. Pored toga, grupa aktivno napada organizacije u finansijskom sektoru, zdravstvu, osiguranju i turizmu. Sve su to industrije sa velikom količinom osjetljivih podataka koje napadači mogu iskoristiti za ekstorziju.
Kako funkcioniše napad?
Silent Ransom Group koristi kombinaciju social engineeringa i voice phishing-a. Prvo šalje e-mail poruke sa temom migracije podataka ili faktura, a zatim se predstavljaju kao IT specijalisti koji uvjeravaju žrtve da se uključe u video pozive sa screen-sharing opcijom. Nakon toga, žrtve instaliravaju remote access softver koji omogućava napadačima pristup mreži. Grupa je poznata i po fizičkim napadima - njihovi operativci se pojavljuju lično i ubacuju USB drajvove u računare žrtava.
Kako se zaštititi?
- Budite oprezniji sa neočekivanim e-mail porukama koje vas pozivaju da stupite u kontakt telefonom ili video pozivom
- Nikada ne dozvolite remote pristup vašem računaru nekom ko vas je prvi kontaktirao putem e-maila ili telefona
- Proverite identitet IT specijalista korišćenjem direktnog broja iz službenog direktorijuma vaše organizacije
- Obavite edukaciju zaposlenih o social engineering taktikama i vishing napadima
- Implementirajte multi-factor autentifikaciju na svim kritičnim sistemima
- Redovno monitorujte mrežni saobraćaj tražeći nepobične DNS upite i veze ka nepoznatim IP adresama
- Obezbedite fizičke ulazne tačke i nadzrite ko ima pristup računarskoj infrastrukturi
Tehnički detalji
Silent Ransom Group koristi DNS fast flux tehniku koja omogućava brzu rotaciju IP adresa povezanih sa domenama kako bi se sprečila blokada i otkriće. Resecurity je identifikovao njihove fast flux čvorove raspodeljene kroz 22 ISP-a sa najvećom koncentracijom u Latinskoj Americi, Istočnoj Evropi, Srednjoj Aziji, Bliskom Istoku, Africi, Istočnoj Aziji i na Karibima. Dve poznate domene koje koristi grupa su ep6pheij[.]com i business-data-leaks[.]com. Nakon što pristupi mreži, grupa se fokusira na lateralno kretanje i krađu podataka, bez primene file-encrypting malware-a. Ekstorzivne e-mail poruke se obično šalju u roku od 30 minuta od krađe podataka.
Preporuka Sajber Radara
Ova grupa predstavlja ozbiljnu pretnju za sve organizacije koje poseduju osjetljive podatke. Preporučujemo osnivanje tog nivoa awareness-a među zaposlenima i implementaciju stroge politike kontrole pristupa i autentifikacije. Regularna sigurnosna testiranja i monitoring mreže su neophodni za ranije otkrivanje neovlašćenih aktivnosti.
