A gangue de extorsão Silent Ransom Group tem como alvo ativo escritórios de advocacia e organizações de serviços profissionais dos EUA em ataques de engenharia social que muitas vezes levam ao roubo de dados poucas horas após o contato inicial, de acordo com um novo relatório da empresa de segurança cibernética Mandiant.
O relatório segue um comunicado FLASH do FBI publicado na semana passada alertando que o Silent Ransom Group tinha como alvo escritórios de advocacia dos EUA em engenharia social e até mesmo em ataques de roubo de dados pessoais, com a Mandiant agora fornecendo detalhes técnicos adicionais sobre como as invasões são conduzidas.
A Mandiant afirma que o grupo de ameaças, rastreado como UNC3753, Luna Moth e Chatty Spider, teve como alvo dezenas de organizações nos setores jurídico, financeiro e de serviços profissionais entre janeiro e maio de 2026.
A Mandiant alertou que os escritórios de advocacia continuam sendo alvos especialmente atraentes porque armazenam grandes volumes de informações altamente confidenciais de clientes e podem se sentir pressionados a resolver incidentes de extorsão para evitar danos à reputação e regulatórios.
“As firmas de serviços jurídicos representam alvos de alto valor para os atores de extorsão. Elas mantêm repositórios concentrados de arquivos de transações de clientes extremamente confidenciais, planos de fusões e aquisições, segredos comerciais de clientes e relatórios regulatórios corporativos”, explica Mandiant.
“Os grupos de ameaças reconhecem que as entidades jurídicas estão sujeitas a uma forte exposição regulamentar e reputacional e podem estar altamente motivadas para resolver situações de extorsão discretamente para proteger a sua posição profissional”.
Os pesquisadores dizem que os ataques começam com e-mails de phishing com tema de faturas provenientes de contas de e-mail de consumidores. Esses e-mails não contêm links ou anexos maliciosos e, em vez disso, servem como precursores para chamadas telefônicas de acompanhamento de invasores que se fazem passar por funcionários de TI corporativos.
A realização de ataques por meio de chamadas de voz tem sido uma tática contínua desses agentes de ameaças há anos, que eles usaram anteriormente em campanhas de engenharia social BazarCall vinculadas a ataques de ransomware Ryuk e Conti. Um ataque de phishing de retorno de chamada ocorre quando os agentes da ameaça enviam e-mails de phishing de aparência benigna contendo iscas alarmantes ou relacionadas à TI que levam o destinatário a ligar de volta para um número de telefone incluído.
Durante essas sessões, os agentes da ameaça enganam o alvo para que instale ferramentas remotas de monitoramento e gerenciamento, como AnyDesk, Zoho Assist, Bomgar ou SuperOps, concedendo-lhes assim acesso inicial à rede corporativa.
A Mandiant também descobriu domínios de phishing vinculados à campanha que se fazem passar por portais internos de TI usando padrões de nomenclatura como:
Os pesquisadores dizem que os agentes da ameaça também usam o privnote[.]com, um serviço de mensagens autodestrutivo, para compartilhar links de instalação e comandos com alvos durante sessões de suporte remoto. De acordo com a Mandiant, essa tática ajuda a reduzir artefatos forenses deixados em históricos de navegadores ou registros de bate-papo corporativos.
Uma vez dentro de uma rede, o grupo procura documentos jurídicos e financeiros sensíveis, incluindo contratos, registos fiscais, números de Segurança Social e ficheiros de fusões ou aquisições. Os invasores geralmente têm como alvo plataformas de gerenciamento de documentos e repositórios de armazenamento em nuvem antes de exfiltrar os dados usando ferramentas como WinSCP ou Rclone.
Mandiant diz que a operação de extorsão é altamente agressiva, com pedidos de resgate muitas vezes chegando 30 minutos após os invasores deixarem o ambiente da vítima.
“Essas cartas de extorsão altamente agressivas dão às organizações um prazo de três dias para responder e iniciar negociações de resgate. Se a organização vítima não responder, os atores da ameaça declaram que ligarão e enviarão um e-mail diretamente aos funcionários e clientes externos para alertá-los sobre a violação de dados”, relata Mandiant.
“As cartas de extorsão enfatizam explicitamente que o vazamento comprometerá a confiança do cliente, gerará multas regulatórias substanciais e sugerirá que os clientes externos processem a organização vítima por manipulação incorreta de dados”.
O relatório também faz referência ao recente comunicado do FBI, no qual as autoridades alertaram que o Silent Ransom Group tinha como alvo escritórios de advocacia dos EUA com ataques de roubo de dados pessoais.
De acordo com o FBI, os invasores se fazem passar pela equipe interna de TI por meio de ligações e e-mails e, em seguida, tentam obter acesso remoto ou visitar fisicamente os escritórios para "imagens" de computadores ou criar backups enquanto roubam arquivos secretamente.
Embora a Mandiant tenha dito que havia evidências forenses limitadas, os pesquisadores acreditam que esses ataques pessoais estão provavelmente ligados ao UNC3753 com base nas semelhanças na segmentação, nos prazos e no comportamento operacional.
O Grupo Silent Ransom está ativo pelo menos desde 2022, quando fazia parte do sindicato do crime cibernético Ryuk e Conti.
Conforme relatado anteriormente pelo BleepingComputer, os atores da ameaça estavam anteriormente vinculados às campanhas de phishing de retorno de chamada BazarCall que forneciam acesso inicial em ataques de ransomware Conti e Ryuk.
Após o encerramento do sindicato Conti em 2022, o grupo mudou para operações autônomas de roubo de dados e extorsão sob a marca Silent Ransom Group.
Os pesquisadores dizem que o grupo não depende mais da criptografia tradicional de ransomware e, em vez disso, concentra-se inteiramente na extorsão de roubo de dados, na qual roubam dados confidenciais e pressionam as vítimas a pagar para evitar vazamentos.
Um relatório separado divulgado esta semana pela Resecurity descobriu que a gangue também opera infraestrutura de fluxo rápido para ocultar e proteger suas plataformas de vazamento de dados.
O fluxo rápido de DNS é um método em que os invasores alternam constantemente os endereços IP de um domínio por meio de um grande conjunto de dispositivos comprometidos para ocultar sua infraestrutura e dificultar muito mais a remoção ou o bloqueio.
Segundo a empresa, a infraestrutura usa endereços IP residenciais em vários países e ISPs para dificultar as remoções.
A Resecurity disse que o site de vazamento “business-data-leaks[.]com” do grupo e a infraestrutura relacionada dependem de redes proxy residenciais espalhadas pela América Latina, Europa Oriental, Ásia Central, Oriente Médio e Ásia. Os investigadores também ligaram a infraestrutura a outros serviços e domínios relacionados com o cibercrime.
Para se defenderem contra os ataques, tanto a Mandiant como o FBI recomendam a implementação de procedimentos de verificação rigorosos para interações de suporte de TI, limitando ferramentas de acesso remoto, aplicando MFA, restringindo dispositivos de armazenamento USB e treinando funcionários para reconhecer tentativas de phishing de voz.
Para organizações que buscam se defender contra ataques de phishing, BEC e controle de contas, o BleepingComputer está hospedando um webinar com Abnormal intitulado “Pare de perseguir alertas: Automatizando a segurança de e-mail com IA comportamental”.