O grupo de extorsão por roubo de dados conhecido como Luna Moth, também chamado de Silent Ransom Group, intensificou suas campanhas de callback phishing em ataques a instituições jurídicas e financeiras nos Estados Unidos.
De acordo com o pesquisador da EclecticIQ, Arda Büyükkaya, o objetivo final desses ataques é o roubo de dados e extorsão.
Luna Moth, conhecido internamente como Silent Ransom Group, são atores de ameaças que anteriormente conduziram campanhas BazarCall como uma maneira de obter acesso inicial às redes corporativas para os ataques de ransomware Ryuk, e mais tarde, Conti.
Em março de 2022, conforme o Conti começou a ser desativado, os atores de ameaça do BazarCall se separaram do sindicato Conti e formaram uma nova operação chamada Silent Ransom Group (SRG).
Os ataques mais recentes do Luna Moth envolvem a personificação de suporte de TI por meio de e-mail, sites falsos e telefonemas, e dependem exclusivamente de engenharia social e decepção, sem o uso de ransomware visto em nenhum dos casos.
"Até março de 2025, a EclecticIQ avalia com alta confiança que o Luna Moth provavelmente registrou pelo menos 37 domínios através da GoDaddy para apoiar suas campanhas de callback phishing", lê-se no relatório da EclecticIQ.
A maioria desses domínios se passa por portais de helpdesk ou suporte de TI para grandes escritórios de advocacia e empresas de serviços financeiros nos EUA, usando padrões de typosquatting.
A atividade mais recente observada pela EclecticIQ começa em março de 2025, direcionada a organizações baseadas nos EUA com e-mails maliciosos que contêm números de helpdesk falsos que os destinatários são instados a ligar para resolver problemas inexistentes.
Um operador do Luna Moth atende a chamada, personificando a equipe de TI, e convence a vítima a instalar software de monitoramento e gerenciamento remoto (RMM) de sites falsos de suporte de TI que dá aos atacantes acesso remoto à máquina da vítima.
Os sites falsos de suporte de TI utilizam nomes de domínio que seguem padrões de nomenclatura como [nome_da_empresa]-helpdesk.com e [nome_da_empresa]helpdesk.com.
Algumas ferramentas abusadas nestes ataques incluem Syncro, SuperOps, Zoho Assist, Atera, AnyDesk, e Splashtop.
Essas são ferramentas legítimas, digitalmente assinadas, por isso é improvável que acionem quaisquer alertas para a vítima.
Uma vez que a ferramenta RMM é instalada, o atacante tem acesso direto ao teclado, permitindo-lhes espalhar-se para outros dispositivos e procurar arquivos locais e drives compartilhados por dados sensíveis.
Tendo localizado arquivos valiosos, eles exfiltram esses dados para uma infraestrutura controlada pelo atacante usando WinSCP (via SFTP) ou Rclone (sincronização em nuvem).
Depois que os dados são roubados, o Luna Moth entra em contato com a organização vitimizada e ameaça vazar os dados publicamente em seu domínio clearweb, a menos que paguem um resgate.
O valor do resgate varia por vítima, variando de um a oito milhões de USD.
Büyükkaya comenta sobre a discrição desses ataques, observando que eles não envolvem malware, anexos maliciosos ou links para sites repletos de malware.
As vítimas simplesmente instalam uma ferramenta RMM elas mesmas, pensando que estão recebendo suporte de help desk.
Como essas ferramentas RMM são comumente usadas pela empresa, elas não são marcadas pelo software de segurança como maliciosas e são permitidas para executar.
Indicadores de comprometimento (IoCs), incluindo endereços IP e domínios de phishing que devem ser adicionados a uma lista de bloqueio, estão disponíveis no final do relatório da EclecticIQ.
Além dos domínios, também é recomendado considerar restringir a execução de ferramentas RMM que não são usadas no ambiente de uma organização.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...