Kiristysryhmä kävelee sisään toimistoon – FBI varoittaa fyysisestä tietovarkaudesta, Suomessa Teams-tekeytyminen jo KTK:n radarilla
Kun etäkäyttöyritys ei mene läpi, Silent Ransom Group lähettää operatiivin paikan päälle USB-aseman kanssa. FBI kuvailee taktiikkaa uutena vaiheena ryhmän muutoin puhelimitse hoidettavissa hyökkäyksissä.
Tiivistelma
FBI:n IC3-yksikkö julkaisi 26.5.2026 FLASH-tiedotteen Silent Ransom Groupin uudesta toimintamallista, jossa rikollinen saapuu fyysisesti yrityksen tiloihin esiintyen IT-konsulttina. Suomessa Kyberturvallisuuskeskus varoitti jo elokuussa 2025 vastaavasta IT-tuen tekeytymisestä Teams-puheluissa, mutta fyysistä eskalaatiota ei toistaiseksi ole raportoitu kotimaassa.
Tämä ei ole enää puhelinhuijaus. FBI varoitti 26. toukokuuta tiedotteessaan CU-000234-MW, että Silent Ransom Group on alkanut lähettää oman miehensä toimistolle, kun puhelimitse tehty IT-tuen tekeytyminen ei tuota tulosta.
Mukana on USB- tai ulkoinen kovalevy. Tavoite on kytkeä se työasemaan ja kopioida data paikan päältä.
Aiemmin samaa skeneä kuvasi Ringbanin tukipalveluhuijaus 25. toukokuuta – siinäkin tekeyduttiin IT-tueksi, mutta ainoastaan puhelimitse. Fyysinen sisäänkävely on uutta. Se siirtää hyökkäyksen kynnyksen vastaanottotiskille ja avustavalle henkilöstölle, joka päästää "konsultin" ovesta.
Silent Ransom Groupin nimi ei vielä tunneta laajalti, mutta ryhmä on liikkeellä maaliskuusta 2022. Se nousi esiin Conti-romahduksen jälkimainingeissa. Aliaksia on kolme: Luna Moth, Chatty Spider ja UNC3753. Tutkijat liittävät ryhmän Venäjälle, mutta virallista attribuutiota ei ole.
Ryhmä ei salaa tiedostoja kuten perinteinen kiristyshaittaohjelma. Se varastaa datan ja uhkaa julkaista sen, ellei uhri maksa.
Käsikirjoitus on tunnistettavissa
Alkuvaiheessa ryhmä käytti BazarCall-kalastelua eli väärennettyjä laskuja, jotka houkuttelivat uhrin soittamaan rikollisten numeroon. Maaliskuusta 2025 alkaen kärki on ollut vishingissä, jossa soittaja esiintyy uhrin oman organisaation IT-tukena ja pyytää käynnistämään Quick Assistin, AnyDeskin tai Splashtopin.
Eksfiltrointi tapahtuu WinSCP:llä ja uudelleennimetyllä Rclonella SSH-portin 22 yli.
Vishing eli äänikalastelu
Puhelimitse tai Teams-yhteyden kautta tapahtuva kalastelu, jossa rikollinen tekeytyy luotettavaksi tahoksi – usein IT-tueksi, pankin asiakaspalveluksi tai viranomaiseksi – ja saa uhrin antamaan tunnuksia tai avaamaan etäyhteyden työasemalle.
Kevään 2026 muutos on yksinkertainen. Kun työntekijä kieltäytyy asentamasta etäkäyttötyökalua, ryhmä ei luovuta. Se lähettää henkilön paikan päälle.
Lukijoita on syytä havahduttaa yhdellä kysymyksellä. Kuka teidän toimistossanne kysyisi virallisen henkilötodistuksen siltä, joka esittäytyy talon IT-konsultiksi ja sanoo tulleensa korjaamaan tulostimen?
Asianajotoimistot kärjessä
Silent Ransom Groupin vuotosivulla on tällä hetkellä yli 38 asianajotoimistoa. Tutkijoiden arvio kaikista hyökkäyksistä on yli 100, ja piikki osuu alkuvuoteen 2026.
Nimettyjä uhreja on toistaiseksi yksi: yhdysvaltalainen Orrick, Herrington & Sutcliffe. Toimisto kieltäytyi maksamasta, ja sen asiakastiedot julkaistiin tammikuussa 2026. Toimiston liikevaihto ylittää 1,5 miljardia dollaria ja sillä on yli 25 toimipistettä.
FBI ei ole julkaissut lunnasvaatimusten kokoluokkia, mutta tiedotteessa on yksi selkeä tunnusmerkki.
– Toimistolle saapuvat tuntemattomat IT-asiantuntijat ovat uusi, tunnistettava merkki, tiedote toteaa.
Suomen kytkös on Teams-puhelussa
Kyberturvallisuuskeskus kertoi viikkokatsauksessa 35/2025 elokuun lopussa rikollisista, jotka tekeytyvät oman organisaation IT-tueksi Teams-puhelussa ja saavat työntekijän käynnistämään AnyDeskin tai Quick Assistin. Tekniikka&Talous kattoi havainnon 28.8.2025.
Käsikirjoitus on oikeastaan sama kuin FBI:n nyt kuvaama. Fyysistä eskalaatiota ei kotimaisissa raporteissa ole vielä nähty, mutta sosiaalisen manipuloinnin perusta on Suomessa jo dokumentoitu aktiiviseksi.
Suomalaiset pk-yritykset, asianajotoimistot ja tilitoimistot ovat tämän taktiikan luonnollinen kohderyhmä. Heikoin lenkki ei ole IT-henkilöstö, vaan vastaanotto, sihteerit ja avustavat työntekijät.
Tunnistusmerkit
- Yllättävä sisäänpäin tuleva puhelu tai Teams-viesti "IT-tuesta", varsinkin kiireellisellä äänensävyllä.
- Pyyntö asentaa tai käynnistää etäkäyttötyökalu kuten Quick Assist, AnyDesk tai Splashtop.
- Sovittamaton paikan päälle saapuva "IT-tukihenkilö" tai "konsultti" ilman ennakkotietoa.
- Pyyntö kytkeä USB-asema tai ulkoinen kovalevy työasemaan.
Mitä tehdä
- Kuvallinen henkilötodistus on pakollinen ennen kuin kukaan ulkopuolinen pääsee työasemille tai palvelinkaappeihin.
- Sulje puhelu ja soita itse takaisin IT-tuelle tunnettuun numeroon.
- Estä USB-massamuistit herkillä päätelaitteilla joko ryhmäkäytännöllä tai Intunen laitehallinnasta.
- Estä ulospäin lähtevä portti 22 toimistoverkoista, jotka eivät tarvitse SSH:ta.
- Ota käyttöön kalastelua kestävä MFA ja estä luvattomat RMM-työkalut päätelaitehallinnassa.
- Kouluta vastaanotto, sihteerit ja avustajat erikseen. Heille tämä on uutta, IT-väelle ei.
Mihin ilmoittaa
Yritysuhriksi joutumisesta tai epäilystä kannattaa tehdä ilmoitus Kyberturvallisuuskeskukseen osoitteessa ilmoita.kyberturvallisuuskeskus.fi sekä rikosilmoitus poliisille palvelussa poliisi.fi.
Tätä artikkelia kirjoitettaessa fyysistä eskalaatiota ei ole vielä havaittu kotimaassa, mutta pelikirjan muut sivut ovat olleet käytössä jo lähes vuoden.