O grupo extorsivo Silent Ransom Group está invadindo escritórios de advocacia nos EUA por meio de ligações com falso suporte de TI — atacantes se passam por técnicos e convencem vítimas a instalar ferramentas de acesso remoto. Segundo relatório da Mandiant divulgado em 7 de junho de 2026, dezenas de organizações foram alvo entre janeiro e maio, com dados roubados em poucas horas.
Como o ataque funciona
Os ataques começam com e-mails de phishing com tema de fatura, enviados a partir de contas de e-mail de consumo. Essas mensagens não contêm links ou anexos maliciosos — funcionam apenas como isca para uma ligação posterior. Os atacantes se passam por funcionários do suporte de TI da empresa e convencem a vítima a ingressar em sessões de acesso remoto via Microsoft Teams, Zoom, Quick Assist ou Microsoft Terminal Services.
Durante a sessão, os criminosos orientam a instalação de ferramentas legítimas de gerenciamento remoto como AnyDesk, Zoho Assist, Bomgar ou SuperOps. Essas ferramentas garantem acesso persistente à rede corporativa sem levantar suspeitas de antivírus, pois são aplicativos conhecidos e amplamente utilizados por equipes de TI.
A tática de engenharia social por telefone é uma evolução dos ataques BazarCall, anteriormente vinculados às campanhas de ransomware Ryuk e Conti. O grupo, rastreado como UNC3753, Luna Moth e Chatty Spider, refinou a abordagem ao longo de anos de operação.
Domínios de phishing e persistência
A Mandiant identificou dezenas de domínios de phishing criados para imitar portais internos de TI das vítimas. Os padrões de nomenclatura seguem o formato:
- <organização>-itdesk[.]com
- <organização>-it[.]com
- <organização>-helpdesk[.]com
Os atacantes também utilizam o serviço Privnote, que cria mensagens autodestrutivas, para compartilhar links de instalação e comandos durante as sessões remotas. Isso reduz significativamente os artefatos forenses deixados em históricos de navegador ou logs corporativos.
Exfiltração e extorsão agressiva
Uma vez dentro da rede, os criminosos buscam documentos sensíveis — contratos, registros fiscais, números de previdência social e arquivos de fusões e aquisições. Plataformas de gerenciamento de documentos e repositórios em nuvem são os alvos preferenciais.
A exfiltração é realizada com ferramentas como WinSCP e Rclone. A operação de extorsão é brutal: as exigências de resgate chegam em até 30 minutos após os atacantes saírem do ambiente da vítima, com prazo de três dias para negociação. Se a organização não responder, os criminosos ameaçam contatar diretamente funcionários e clientes para expor o vazamento.
| Fase | Ação dos atacantes | Ferramentas utilizadas |
|---|---|---|
| 1. Contato inicial | E-mail com tema de fatura | Contas de e-mail de consumo |
| 2. Engenharia social | Ligação fingindo ser suporte de TI | Telefone, domínios falsos de IT |
| 3. Acesso remoto | Sessão de suporte com a vítima | Teams, Zoom, Quick Assist |
| 4. Persistência | Instalação de RMM legítimo | AnyDesk, Zoho, Bomgar, SuperOps |
| 5. Coleta de dados | Busca por documentos sensíveis | Acesso manual ao sistema |
| 6. Exfiltração | Cópia de arquivos para servidor externo | WinSCP, Rclone |
| 7. Extorsão | Ameaça de vazamento em 3 dias | Privnote, e-mail |
Como se proteger
Empresas de serviços profissionais e jurídicos devem implementar verificação de identidade para qualquer solicitação de suporte de TI recebida por telefone. Treine funcionários para desconfiar de ligações não solicitadas que peçam instalação de software de acesso remoto.
Monitore a instalação não autorizada de ferramentas RMM como AnyDesk e Zoho Assist em estações de trabalho. Bloqueie domínios com padrão “organização-itdesk.com” ou “organização-helpdesk.com” que não pertençam à infraestrutura corporativa oficial. Restrinja o uso de serviços de mensagens autodestrutivas como o Privnote em redes corporativas.
Mantenha monitoramento ativo sobre tráfego de saída para serviços de armazenamento em nuvem não autorizados, especialmente transferências grandes via WinSCP e Rclone. O caso de extorsão recente da Weil demonstra como grupos extorsivos pressionam vítimas com prazos curtos e ameaças de exposição pública.
Fontes
- BleepingComputer — Silent Ransom Group targets law firms
- TechCrunch — Google and FBI warn of ransomware group
- FBI FLASH Advisory — Silent Ransom Group
O que observar agora
Para equipes de seguranca, o ponto principal em “Falso suporte de TI: grupo invade escritórios de advocacia” e transformar o alerta em verificacao objetiva. Antes de assumir impacto, vale confirmar ativos expostos, versoes em uso, logs recentes e dependencias que possam ampliar o risco. Esse processo reduz ruido, evita pânico e ajuda a priorizar o que realmente precisa de resposta imediata.
Tambem e importante registrar evidencias. Guarde indicadores, horarios, sistemas afetados e decisoes tomadas durante a triagem. Mesmo quando o caso nao evolui para incidente, essa disciplina melhora a resposta futura e facilita explicar para lideranca por que uma acao foi tomada, adiada ou descartada.