O FBI está alertando que o Silent Ransom Group escalou seus ataques enviando indivíduos diretamente para escritórios das vítimas para roubar dados sensíveis após tentativas de intrusão remota fracassar.
De acordo com um novo FBI alert , o grupo de crimes cibernéticos, também conhecido como Luna Moth, Chatty Spider e UNC3753, tem mirado escritórios de advocacia dos EUA usando táticas de engenharia social projetadas para obter acesso remoto a sistemas internos e exfiltrar dados confidenciais para extorsão.
O FBI afirmou que os atacantes normalmente começam se passando por funcionários internos de suporte de TI por meio de e-mails de phishing ou ligações diretas. As vítimas são orientadas a participar de sessões de desktop remoto ou instalar ferramentas de acesso remoto sob o pretexto de resolver problemas técnicos ou cancelar falsas taxas de assinatura.
Se a tentativa de acesso remoto não for bem-sucedida, o grupo teria começado a enviar indivíduos pessoalmente para a organização-alvo. O visitante afirma ser um funcionário de TI enviado para capturar o dispositivo ou criar um backup relacionado ao incidente anterior de phishing. Uma vez dentro, o indivíduo insere um dispositivo de armazenamento externo ou um drive USB no computador da vítima para roubar dados diretamente.
O FBI afirmou que o grupo foca no roubo rápido de dados, em vez da criptografia tradicional de ransomware. Investigadores observaram o Silent Ransom Group usando ferramentas administrativas legítimas e de transferência de arquivos, incluindo WinSCP e versões modificadas do Rclone para mover discretamente dados roubados de ambientes comprometidos.
Ao contrário de muitas gangues de ransomware, o Silent Ransom Group frequentemente deixa evidências forenses mínimas porque as vítimas concedem acesso voluntariamente durante o processo de engenharia social. Produtos antivírus tradicionais também podem falhar em detectar a atividade, já que os atacantes dependem fortemente de ferramentas legítimas de gerenciamento de sistemas em vez de malwares personalizados.
O grupo teria como alvo escritórios de advocacia desde pelo menos 2023, embora pesquisadores digam que organizações dos setores de saúde, finanças e outros também foram impactadas. Escritórios de advocacia são considerados alvos especialmente valiosos devido à grande quantidade de dados confidenciais jurídicos, financeiros e corporativos que armazenam.
Após roubar dados, o Grupo Silencioso de Resgate ameaça as vítimas com vazamentos públicos ou vendas das informações roubadas, a menos que sejam pagas exigências de resgate. O FBI disse que atacantes também entraram em contato diretamente com funcionários e clientes para aumentar a pressão durante negociações de extorsão.
O Bureau incentivou as organizações a verificarem a identidade de qualquer pessoa que solicitasse acesso a sistemas ou dispositivos da empresa, especialmente indivíduos que afirmassem ser funcionários internos de TI. O FBI também recomendou restringir o uso de dispositivos externos, limitar permissões de acesso remoto e aplicar autenticação multifator resistente a phishing.