O grupo extorsivo Silent Ransom Group está mirando ativamente escritórios de advocacia e organizações de serviços profissionais nos Estados Unidos por meio de ataques de engenharia social que, muitas vezes, resultam em roubo de dados poucas horas após o primeiro contato, segundo um novo relatório da empresa de cibersegurança Mandiant.
O relatório vem na esteira de um alerta FLASH do FBI, publicado na semana passada, que advertia que o Silent Ransom Group estava atacando escritórios de advocacia nos EUA com engenharia social e até com ataques presenciais de roubo de dados.
A Mandiant também trouxe detalhes técnicos adicionais sobre como essas intrusões acontecem.
Segundo a Mandiant, o grupo, monitorado como UNC3753, Luna Moth e Chatty Spider, mirou dezenas de organizações dos setores jurídico, financeiro e de serviços profissionais entre janeiro e maio de 2026.
A empresa alertou que escritórios de advocacia continuam sendo alvos especialmente atraentes porque armazenam grandes volumes de informações extremamente sensíveis de clientes e podem sentir pressão para resolver incidentes de extorsão rapidamente, evitando danos reputacionais e regulatórios.
“Escritórios de serviços jurídicos representam alvos de alto valor para agentes de extorsão.
Eles mantêm repositórios concentrados de arquivos de transações de clientes extremamente sensíveis, planos de fusões e aquisições, segredos comerciais de clientes e relatórios regulatórios corporativos”, explica a Mandiant.
“Os grupos de ameaça entendem que entidades jurídicas estão sujeitas a forte exposição reputacional e regulatória e podem estar altamente motivadas a resolver situações de extorsão de forma discreta para proteger sua imagem profissional.”
Os pesquisadores afirmam que os ataques começam com e-mails de phishing com tema de faturas enviados a partir de contas de e-mail de consumidores.
Essas mensagens não contêm links ou anexos maliciosos e funcionam como etapa inicial para ligações de acompanhamento feitas por atacantes que se passam por equipes corporativas de TI.
O uso de chamadas de voz como vetor de ataque é uma tática recorrente desses threat actors há anos.
Eles já a utilizaram em campanhas de engenharia social do tipo BazarCall, ligadas a ataques com ransomware Ryuk e Conti.
Em um ataque de callback phishing, os threat actors enviam e-mails aparentemente inofensivos, com iscas alarmantes ou ligadas a TI, que levam a vítima a ligar para um número fornecido na mensagem.
Na campanha atual, o Silent Ransom Group se passa por help desks de TI e convence funcionários a entrar em sessões de suporte remoto via Microsoft Teams, Zoom, Quick Assist ou Microsoft Terminal Services.
Durante essas sessões, os threat actors induzem o alvo a instalar ferramentas de monitoramento e gerenciamento remoto, como AnyDesk, Zoho Assist, Bomgar ou SuperOps, garantindo assim o acesso inicial à rede corporativa.
A Mandiant também identificou domínios de phishing associados à campanha, que imitam portais internos de TI com padrões de nomenclatura como os usados em ambientes corporativos.
Os pesquisadores dizem ainda que os threat actors usam o serviço de mensagens autodestrutivas privnote[.]com para compartilhar links de instalação e comandos com as vítimas durante as sessões de suporte remoto.
Segundo a Mandiant, essa tática ajuda a reduzir vestígios forenses deixados no histórico do navegador ou em logs de chat corporativos.
Depois de entrar na rede, o grupo procura documentos jurídicos e financeiros sensíveis, incluindo contratos, registros fiscais, números de Seguro Social e arquivos de fusões ou aquisições.
Os atacantes costumam mirar primeiro plataformas de gerenciamento de documentos e repositórios de armazenamento em nuvem antes de exfiltrar os dados com ferramentas como WinSCP ou Rclone.
A Mandiant afirma que a operação de extorsão é altamente agressiva, com pedidos de resgate chegando, muitas vezes, em até 30 minutos após os atacantes deixarem o ambiente da vítima.
“Essas cartas de extorsão altamente agressivas dão às organizações um prazo de três dias para responder e iniciar negociações de resgate.
Se a organização vítima não responder, os threat actors afirmam que ligarão e enviarão e-mails diretamente para funcionários-alvo e clientes externos para alertar sobre o data breach”, relata a Mandiant.
“As cartas de extorsão enfatizam explicitamente que o vazamento comprometerá a confiança dos clientes, trará multas regulatórias substanciais e sugerem que clientes externos processem a organização vítima por mau manuseio de dados.”
O relatório também cita o recente alerta do FBI, no qual a autoridade policial avisou que o Silent Ransom Group estava mirando escritórios de advocacia nos EUA com ataques presenciais de roubo de dados.
De acordo com o FBI, os atacantes se passam por funcionários internos de TI por telefone e e-mail e, em seguida, tentam obter acesso remoto ou visitar fisicamente os escritórios para “imagens” de computadores ou criar cópias de segurança, enquanto roubam arquivos em segredo.
Embora a Mandiant diga que havia evidências forenses limitadas, os pesquisadores acreditam que esses ataques presenciais provavelmente estão ligados ao UNC3753, com base em semelhanças de alvos, cronogramas e comportamento operacional.
O Silent Ransom Group está ativo desde pelo menos 2022, quando fazia parte do sindicato de cibercrime Ryuk e Conti.
Como já havia sido reportado, os threat actors foram anteriormente associados a campanhas de callback phishing BazarCall, que deram acesso inicial a ataques com ransomware Conti e Ryuk.
Após o encerramento do sindicato Conti, em 2022, o grupo passou a atuar em operações independentes de roubo de dados e extorsão, sob a marca Silent Ransom Group.
Os pesquisadores afirmam que o grupo não depende mais da criptografia tradicional de ransomware e, em vez disso, foca totalmente em extorsão baseada em roubo de dados, na qual subtrai informações sensíveis e pressiona as vítimas a pagar para evitar vazamentos.
Um relatório separado divulgado nesta semana pela Resecurity mostrou que a gangue também opera uma infraestrutura de fast flux para ocultar e proteger suas plataformas de vazamento de dados.
DNS fast flux é um método em que atacantes alternam constantemente os endereços IP de um domínio por meio de um grande conjunto de dispositivos comprometidos, ocultando sua infraestrutura e tornando muito mais difícil a derrubada ou o bloqueio.
Segundo a empresa, a infraestrutura usa endereços IP residenciais em vários países e provedores de internet para dificultar ações de contenção.
A Resecurity afirmou que o site de vazamento “business-data-leaks[.]com” e a infraestrutura relacionada dependem de redes de proxies residenciais espalhadas pela América Latina, Europa Oriental, Ásia Central, Oriente Médio e Ásia.
Os pesquisadores também relacionaram essa estrutura a outros serviços e domínios ligados ao cibercrime.
Para se defender desses ataques, tanto a Mandiant quanto o FBI recomendam a adoção de procedimentos rígidos de verificação para interações de suporte de TI, limitação de ferramentas de acesso remoto, imposição de MFA, restrição ao uso de dispositivos de armazenamento USB e treinamento de funcionários para reconhecer tentativas de voice phishing.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...