Còn có những tên gọi khác như Luna Moth, Chatty Spider và UNC3753, nhóm đe dọa này đã hoạt động từ năm 2022 và cũng đứng sau các chiến dịch BazarCall cung cấp quyền truy cập ban đầu vào mạng công ty cho các cuộc tấn công bằng mã độc tống tiền (ransomware) gồm Ryuk và Conti.

Vào tháng 3/2022, sau khi Conti đóng cửa, các tác nhân đe dọa đã tách khỏi tổ chức tội phạm mạng và thành lập hoạt động riêng của chúng có tên là Silent Ransom Group (SRG).

Trong các cuộc tấn công gần đây, SRG mạo danh bộ phận hỗ trợ CNTT của mục tiêu trong email, các trang web giả mạo và các cuộc gọi điện thoại bằng cách sử dụng các chiến thuật kỹ thuật xã hội để truy cập vào mạng của mục tiêu.

Nhóm tống tiền này không mã hóa hệ thống của nạn nhân và đưa ra yêu cầu tiền chuộc để không làm rò rỉ thông tin nhạy cảm bị đánh cắp từ các thiết bị bị xâm phạm trực tuyến.

"Nhóm tin tặc SRG sau đó sẽ hướng dẫn nhân viên tham gia phiên truy cập từ xa, thông qua email được gửi cho họ hoặc điều hướng đến một trang web khác. Khi nhân viên cấp quyền truy cập vào thiết bị của họ, họ được thông báo rằng công việc cần phải được thực hiện qua đêm", FBI cho biết trong thông báo riêng của ngành vào thứ Sáu tuần trước.

"Một khi đã vào được thiết bị của nạn nhân, một cuộc tấn công leo thang SRG điển hình liên quan đến đặc quyền tối thiểu và nhanh chóng chuyển sang việc đánh cắp dữ liệu được thực hiện thông qua 'WinSCP' (Windows Secure Copy) hoặc phiên bản ẩn hoặc được đổi tên của 'Rclone'".

Sau khi đánh cắp dữ liệu của nạn nhân, chúng tống tiền họ qua email đòi tiền chuộc, đe dọa sẽ bán hoặc công bố thông tin và chúng cũng sẽ gọi điện cho nhân viên của các tổ chức bị xâm phạm để gây áp lực buộc họ phải đàm phán đòi tiền chuộc. Mặc dù chúng có một trang web chuyên dụng để rò rỉ dữ liệu của nạn nhân, FBI cho biết băng nhóm tống tiền không phải lúc nào cũng theo dõi các mối đe dọa rò rỉ dữ liệu của chúng.

Để chống lại các cuộc tấn công của chúng, FBI khuyên doanh nghiệp nên sử dụng mật khẩu mạnh, bật xác thực hai yếu tố cho tất cả nhân viên, sao lưu dữ liệu thường xuyên và tiến hành đào tạo nhân viên về cách phát hiện các nỗ lực lừa đảo.

Cảnh báo của FBI được đưa ra sau báo cáo gần đây của EclecticIQ, trong đó nêu chi tiết về các cuộc tấn công SRG nhắm vào các tổ chức pháp lý và tài chính tại Hoa Kỳ, tại đây những kẻ tấn công được phát hiện đã đăng ký tên miền để "mạo danh bộ phận trợ giúp CNTT hoặc cổng thông tin hỗ trợ cho các công ty luật và công ty dịch vụ tài chính lớn của Hoa Kỳ, sử dụng các mẫu đánh máy bị chiếm đoạt".

Các nạn nhân đang được gửi email độc hại với số điện thoại của bộ phận trợ giúp giả mạo, thúc giục họ gọi điện để giải quyết nhiều vấn đề không tồn tại. Tuy nhiên, những kẻ điều hành Luna Moth mạo danh nhân viên CNTT ở đầu bên kia sẽ cố gắng lừa nhân viên của các công ty mục tiêu cài đặt phần mềm giám sát và quản lý từ xa (RMM) từ các trang web bộ phận trợ giúp CNTT giả mạo.

Sau khi công cụ RMM được cài đặt và khởi chạy, những kẻ tấn công sẽ có quyền truy cập bàn phím thực tế, cho phép chúng tìm kiếm các tài liệu có giá trị trên các thiết bị bị xâm phạm và trình điều khiển dùng chung sau đó sẽ bị đánh cắp bằng Rclone (đồng bộ hóa đám mây) hoặc WinSCP (thông qua SFTP).

Theo EclecticIQ, các yêu cầu tiền chuộc do Silent Ransom Group gửi đi dao động từ một đến tám triệu đô la Mỹ, tùy thuộc vào quy mô của công ty bị xâm phạm.