Resumo

O escritório de advocacia Weil Gotshal & Manges pagou entre US$ 18 milhões e US$ 20 milhões a um grupo de extorsão digital após o roubo de documentos de clientes, segundo fontes ouvidas pela The Insurer. O grupo por trás do ataque, chamado Silent Ransom Group (também conhecido como Luna Moth), tem como tática engenharia social por telefone e, em alguns casos, envio de pessoas fisicamente aos escritórios das vítimas se passando por funcionários de TI. O FBI emitiu alerta em maio de 2026 sobre a campanha crescente contra escritórios de advocacia americanos.

O caso Weil Gotshal

A Weil, um dos maiores escritórios de advocacia corporativa dos Estados Unidos, confirmou que sofreu um incidente cibernético envolvendo “o carregamento não autorizado de um número limitado de documentos de clientes em um site de armazenamento em nuvem externo”, segundo declaração à publicação Non-Billable.

O escritório afirmou que ativou protocolos de resposta a incidentes, contratou profissionais terceirizados de cibersegurança e notificou as autoridades. A investigação forense determinou que o atacante “não obteve acesso à rede da Weil, nem o incidente interrompeu as operações do escritório”.

O detalhe que choca: segundo o relato da Legal Cheek, o pagamento foi feito em até três dias após a exigência. O valor — entre US$ 18 milhões e US$ 20 milhões — torna este um dos maiores resgates conhecidos envolvendo um escritório de advocacia.

Quem é o Silent Ransom Group

O Silent Ransom Group (SRG), também rastreado como Luna Moth, Chatty Spider e UNC3753, opera desde pelo menos 2022 e tem origens no desmantelamento do sindicato Conti, um dos grupos de ransomware mais destrutivos da história. Diferente de grupos tradicionais de ransomware, o SRG não criptografa sistemas. A operação é inteiramente focada em roubo e extorsão de dados.

Segundo o alerta do FBI publicado em 26 de maio de 2026, o grupo “tem consistentemente visado escritórios de advocacia americanos desde 2023” por causa da natureza altamente sensível dos dados do setor jurídico. O alerta de maio de 2026 é uma atualização de uma notificação privada anterior, de maio de 2025.

Além de escritórios de advocacia, o SRG também atacou organizações nos setores de saúde, seguros e finanças. Nenhuma prisão foi registrada até o momento.

A tática inédita: hackers na porta

O que torna o SRG diferente de outros grupos de extorsão é a ousadia das táticas. O modus operandi evolve em múltiplas etapas, e a fase final surpreende pela brutalidade operacional:

Etapa 1 — Engenharia social por telefone e phishing: os atacantes se passam por funcionários do departamento de TI da vítima. Funcionários recebem ligações ou e-mails de phishing instruindo-os a entrar em contato com um suposto suporte técnico — uma variação da técnica de phishing que também visa gerentes de TI. Durante a interação, os funcionários são convencidos a conceder acesso remoto ao desktop.

Etapa 2 — Acesso físico (quando o acesso remoto falha): se as tentativas remotas não funcionam, o SRG envia uma pessoa fisicamente ao escritório da vítima. O indivíduo se apresenta como funcionário de TI, alega precisar criar um backup ou imagem do sistema devido a um problema de segurança e insere um dispositivo de armazenamento externo (HD ou USB) no computador da vítima para copiar dados.

Etapa 3 — Extorsão: os dados roubados são usados como alavanca. O grupo envia e-mails de resgate ameaçando vender ou publicar os dados em seu site de vazamento. Em alguns casos, fazem ligações diretas para funcionários e clientes para pressionar na negociação.

A Help Net Security destaca que campanhas recentes do SRG “deixaram poucos artefatos nas máquinas comprometidas” e que “produtos tradicionais de antivírus têm pouca probabilidade de detectar a intrusão” porque o grupo utiliza ferramentas legítimas de administração de sistemas e acesso remoto.

Escritórios são o alvo perfeito

Escritórios de advocacia concentram o tipo de dados que torna o pagamento de resgate quase inevitável: documentos confidenciais de fusões e aquisições, estratégias legais, registros financeiros de clientes corporativos, dados de propriedade intelectual e informações privilegiadas. A ameaça de publicação pode destruir relações com clientes e gerar processos por quebra de confidencialidade.

O caso Weil não é isolado. Em abril de 2026, o escritório Jones Day confirmou que hackers acessaram dados da firma. Segundo a The Insurer, uma exigência de US$ 13 milhões foi feita, mas o pagamento não teria ocorrido. Ambos os ataques foram atribuídos ao mesmo grupo.

Para o mercado brasileiro, o paralelo é direto. Escritórios de advocacia corporativa no Brasil lidam com o mesmo tipo de informação sensível — contratos complexos, dados de M&A, litígios de alto valor. A Halcyon alerta que escritórios que subestimam grupos como o SRG estão subestimando tanto a intenção quanto a capacidade dos operadores de ransomware modernos.

A deteção é o ponto cego

O SRG explora uma vulnerabilidade que nenhuma solução técnica resolve sozinha: o fator humano. A engenharia social continua sendo o vetor mais poderoso de invasão corporativa. As ferramentas utilizadas — como AnyDesk, Zoho Assist, WinSCP e Rclone — são programas legítimos de uso corporativo. Os dados são transferidos por plataformas confiáveis como Google Drive e Microsoft OneDrive, misturando-se ao tráfego normal da empresa.

O FBI recomenda um conjunto de medidas que priorizam processos sobre tecnologia:

  • Verificação de identidade: confirmar a identidade de qualquer pessoa que afirme ser do suporte de TI antes de conceder acesso remoto ou físico aos sistemas
  • Treinamento de funcionários: educar equipes sobre phishing de callback e técnicas de engenharia social
  • Autenticação multifator (MFA): implementar MFA em todos os pontos de acesso
  • Restrição de ferramentas remotas: limitar o uso de ferramentas de acesso remoto não autorizadas
  • Revisão de procedimentos: atualizar processos de helpdesk para reset de senhas e solicitações de acesso

O precedente do pagamento

O pagamento de US$ 20 milhões pela Weil levanta uma questão que o setor jurídico prefere não discutir: pagar resgate incentiva mais ataques. Como já analisamos em nossa cobertura sobre como prevenir ataques de ransomware, especialistas são categóricos ao afirmar que o pagamento não garante a destruição dos dados — apenas a promessa do atacante de não publicá-los. Nada impede que os mesmos dados sejam vendidos separadamente no mercado negro.

O FBI, em seus alertas de 2025 e 2026, não recomenda o pagamento de resgate. A agência reforça que organizações devem reportar incidentes às autoridades e trabalhar com profissionais de resposta a incidentes antes de tomar decisões de pagamento.

O que o caso Weil deixa claro é que, quando o dado roubado é confidencialidade de cliente, a pressão para pagar é esmagadora. O custo de não pagar — exposição pública, perda de clientes, processos regulatórios — pode superar em muito o valor do resgate. É exatamente esse cálculo que torna escritórios de advocacia o alvo preferencial de grupos como o SRG.

O que escritórios brasileiros devem fazer

As táticas do SRG são replicáveis em qualquer país. O Brasil tem um setor jurídico corporativo robusto, com escritórios que manejam dados igualmente sensíveis. As medidas imediatas são:

  1. Protocolo de verificação de TI: toda solicitação de suporte de TI — por telefone, e-mail ou presencial — deve ser verificada por canal independente antes de qualquer acesso ser concedido
  2. Controle de acesso físico: visitantes que solicitam acesso a computadores ou estações de trabalho devem ser tratados como incidente potencial até verificação
  3. Monitoramento de transferências de dados: implementar alertas para uploads incomuns para serviços de nuvem externos
  4. Simulações de phishing com callback: ir além do e-mail de phishing tradicional e treinar equipes contra ataques de engenharia social por telefone
  5. Plano de resposta a incidentes: ter um plano testado que inclui decisão de pagamento vs. não pagamento, comunicação com clientes e notificação às autoridades

O caso Weil é o alerta mais recente de que a ameaça não vem apenas de código malicioso executado a milhares de quilômetros. Às vezes, o atacante está na sala ao lado — com um pendrive na mão.

Referências