A empresa de cibersegurança **Mandiant** lançou nova luz sobre as campanhas agressivas travadas pelo **Silent Ransom Group**, uma gangue de extorsão que visa ativamente escritórios de advocacia e outras organizações de serviços profissionais nos EUA. O grupo, também rastreado como **UNC3753**, **Luna Moth** e **Chatty Spider**, demonstrou sua capacidade de roubar dados confidenciais em poucas horas após o contato inicial. Este relatório expande um recente aviso FLASH do **FBI**, que anteriormente alertava sobre o foco do **Silent Ransom Group** em escritórios de advocacia dos EUA, incluindo tentativas de roubo de dados presenciais. As descobertas da **Mandiant** fornecem detalhes técnicos cruciais sobre os métodos de intrusão do grupo. ### Por Que Escritórios de Advocacia São Alvos Principais Entre janeiro e maio de 2026, dezenas de organizações nos setores jurídico, financeiro e de serviços profissionais foram vítimas desses ataques. Escritórios de advocacia são alvos particularmente atraentes devido aos vastos repositórios de dados altamente confidenciais que detêm, incluindo arquivos de transações, planos de fusões e aquisições, segredos comerciais e relatórios regulatórios corporativos. Os atores de ameaças reconhecem que as entidades jurídicas enfrentam riscos significativos de reputação e regulatórios, o que as torna altamente motivadas a resolver demandas de extorsão silenciosamente para proteger sua posição profissional e a confiança dos clientes. ### O Playbook de Engenharia Social Os ataques geralmente começam com e-mails de phishing com tema de fatura enviados de contas de consumidor. Esses e-mails iniciais são benignos, sem links ou anexos maliciosos, servindo meramente como um precursor para chamadas telefônicas de acompanhamento. Nessas chamadas, os atacantes se passam por pessoal de TI corporativo, enganando os funcionários para que participem de sessões de suporte remoto por meio de plataformas como **Microsoft Teams**, **Zoom**, **Quick Assist** ou **Microsoft Terminal Services**. Essa técnica de phishing de callback tem sido um pilar para esses atores de ameaças por anos, vista anteriormente em campanhas **BazarCall** ligadas a ataques de ransomware **Ryuk** e **Conti**. Ao solicitar que as vítimas liguem de volta, os atacantes contornam as medidas tradicionais de segurança de e-mail. Durante as sessões remotas, os alvos são persuadidos a instalar ferramentas legítimas de monitoramento e gerenciamento remoto, como **AnyDesk**, **Zoho Assist**, **Bomgar** ou **SuperOps**, concedendo assim aos atacantes acesso inicial à rede corporativa.  ### Táticas de Infiltração e Exfiltração A **Mandiant** também identificou domínios de phishing projetados para imitar portais de TI internos, usando convenções de nomenclatura como: * `<organization>-itdesk[.]com` * `<organization>-it[.]com` * `<organization>-helpdesk[.]com` Para evadir ainda mais a detecção, os atores de ameaças usam `privnote[.]com`, um serviço de mensagens autodestrutivas, para compartilhar links de instalação e comandos durante as sessões de suporte remoto. Isso minimiza artefatos forenses em históricos de navegador ou logs de chat corporativos. Uma vez dentro da rede, o grupo procura meticulosamente por documentos legais e financeiros confidenciais, incluindo contratos, registros fiscais, números de Seguro Social e arquivos de M&A. Eles comumente visam plataformas de gerenciamento de documentos e repositórios de armazenamento em nuvem, exfiltrando dados usando ferramentas como **WinSCP** ou **Rclone**. ### Extorsão Agressiva e Táticas em Evolução As operações de extorsão do **Silent Ransom Group** são notavelmente agressivas, com demandas de resgate geralmente chegando em até 30 minutos após os atacantes saírem do ambiente da vítima. Essas demandas normalmente impõem um prazo de três dias para negociações. A falha em cumprir resulta em ameaças de contatar diretamente funcionários-alvo e clientes externos, expondo a violação de dados e enfatizando o potencial de danos à reputação, multas regulatórias e processos de clientes. Embora as evidências forenses sejam limitadas, a **Mandiant** acredita que os avisos do **FBI** sobre ataques de roubo de dados presenciais provavelmente estão ligados ao **UNC3753** devido a semelhanças em alvos, cronogramas e comportamento operacional. O **Silent Ransom Group** está ativo desde pelo menos 2022, inicialmente como parte do sindicato de cibercrime **Ryuk** e **Conti**. Após o encerramento do sindicato **Conti**, o grupo passou a roubo de dados e extorsão independentes, abandonando a criptografia tradicional de ransomware em favor de pura exfiltração de dados e táticas de pressão. Em um relatório separado, a **Resecurity** revelou que a gangue também está empregando infraestrutura fast-flux para ocultar e proteger suas plataformas de vazamento de dados. Esse método envolve a rotação constante dos endereços IP de um domínio por um grande pool de dispositivos residenciais comprometidos em vários países e ISPs, tornando as desativações e bloqueios significativamente mais desafiadores. A **Resecurity** ligou o site de vazamento `business-data-leaks[.]com` do grupo a tal infraestrutura, operando por meio de redes de proxy residenciais na América Latina, Europa Oriental, Ásia Central, Oriente Médio e Ásia. ### Recomendações de Defesa Para mitigar essas ameaças, tanto a **Mandiant** quanto o **FBI** recomendam medidas de segurança robustas: * Implementar procedimentos rigorosos de verificação para todas as interações de suporte de TI. * Limitar o uso de ferramentas de acesso remoto. * Impor autenticação multifator (MFA) em todos os sistemas. * Restringir o uso de dispositivos de armazenamento USB. * Conduzir treinamento regular de funcionários para reconhecer e relatar tentativas de phishing por voz (vishing).