){kind=link}
O FBI alertou que o grupo de extorsão Silent Ransom Group está atacando escritórios de advocacia nos Estados Unidos, se passando por funcionários do departamento de TI das vítimas. A campanha foi identificada em 2026 e representa uma evolução nas táticas do grupo, que opera desde pelo menos 2022.
O Silent Ransom Group, também conhecido como Luna Moth, ataca sem usar ransomware tradicional. Isso significa que os criminosos não criptografam os arquivos das vítimas para cobrar resgate. Em vez disso, eles roubam os dados e ameaçam publicá-los ou vendê-los na internet caso a empresa não pague.
smart_display
Nossos vídeos em destaque
Como o ataque começa
Tudo começa com um telefonema ou um e-mail de phishing. O funcionário recebe um contato de alguém que se apresenta como parte do time de TI da própria empresa. Essa pessoa pede acesso remoto ao computador, alegando que precisa resolver um problema relacionado a um e-mail malicioso recebido anteriormente.
Se o funcionário aceitar, os criminosos entram no sistema e começam a copiar os dados imediatamente. Ferramentas legítimas de acesso remoto, como Zoho Assist, AnyDesk e Splashtop, são usadas nesse processo para não levantar suspeitas.
O detalhe mais preocupante está na segunda opção dos criminosos: se o acesso remoto falhar, o grupo envia uma pessoa fisicamente até o escritório. Esse agente se apresenta como técnico de TI e convence o funcionário a deixá-lo conectar um dispositivo USB ou HD externo ao computador, alegando que precisa fazer um backup ou uma cópia do sistema. A partir daí, os dados são copiados diretamente para o dispositivo físico e levados embora.
Por que é tão difícil de detectar
Os antivírus tradicionais geralmente não identificam o ataque porque o Silent Ransom Group usa apenas ferramentas legítimas, as mesmas que qualquer equipe de TI real utilizaria. Essa abordagem dificulta a detecção automatizada.
)
Quando o roubo é feito remotamente, o grupo usa programas como WinSCP e Rclone para transferir os arquivos para servidores externos. Em alguns casos, os dados são enviados para plataformas conhecidas como Google Drive e OneDrive, o que ajuda a camuflar ainda mais a movimentação suspeita.
A extorsão começa depois
Com os dados em mãos, o grupo envia um e-mail de extorsão à empresa ameaçando divulgar ou vender as informações roubadas. Para aumentar a pressão, os criminosos também ligam diretamente para funcionários e clientes da vítima. O grupo mantém um site próprio onde publica os dados de quem não paga.
Os escritórios de advocacia são um alvo atraente porque armazenam informações altamente confidenciais, como documentos de processos, dados financeiros e segredos comerciais de clientes.
)
Como se proteger
O FBI recomenda que as empresas estabeleçam políticas claras sobre como o suporte de TI deve se identificar antes de acessar qualquer máquina. Nenhum funcionário deveria liberar acesso remoto ou físico sem verificar a identidade de quem faz o pedido.
Treinar a equipe para reconhecer tentativas de engenharia social é essencial, já que ataques como esse não exploram falhas técnicas do sistema, mas a confiança das pessoas.
Outras medidas recomendadas incluem ativar autenticação multifator resistente a phishing, manter backups regulares dos dados e desabilitar a instalação de dispositivos externos em computadores que armazenam informações sensíveis.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.