El FBI advierte sobre un grupo de rescate silencioso que ataca a bufetes de abogados mediante llamadas fraudulentas

El FBI ha emitido una advertencia a los bufetes de abogados estadounidenses sobre una creciente ciberamenaza dirigida al sector legal. Un grupo conocido como Silent Ransom Group (SRG), también conocido como Luna Moth o Chatty Spider, ha centrado sus ataques en bufetes de abogados desde principios de 2023, utilizando una combinación de correos electrónicos de phishing y llamadas de ingeniería social para obtener acceso a datos legales confidenciales.

Este grupo no es nuevo. Operando desde 2022, SRG tiene un historial de atacar sectores como la salud y los seguros. Sin embargo, en los últimos meses, los bufetes de abogados se han convertido en su principal objetivo, probablemente debido a la información confidencial de sus clientes que manejan.

En noviembre de 2023, el FBI emitió una alerta que destacaba el uso de phishing de devolución de llamada por parte de SRG para vulnerar las redes. En estos ataques, el grupo envía mensajes de phishing diseñados como imágenes imposibles de clicar, a menudo creando una falsa sensación de urgencia y proporcionando un número de teléfono al que el destinatario puede llamar. Esta táctica elude los filtros de seguridad tradicionales del correo electrónico y atrae a las víctimas para que se pongan en contacto, donde los atacantes las inducen a comprometer sus propios sistemas.

En consonancia con sus solicitudes, las nuevas campañas de phishing de SRG también son engañosamente sencillas. Envían correos electrónicos que simulan provenir de empresas que ofrecen servicios de suscripción, advirtiendo al destinatario sobre un pequeño cargo cuestionable. Para cancelar, se indica a las víctimas que llamen al número proporcionado en el correo electrónico. En esa llamada, los atacantes convencen a la víctima de descargar un software de acceso remoto, lo que proporciona a SRG una vía de acceso a los sistemas de la empresa.

Sin embargo, lo novedoso de esta campaña es que SRG ha comenzado a llamar directamente a los empleados, haciéndose pasar por el departamento de TI de la empresa. Les indican que se unan a una sesión remota o visiten una página web específica, instalando herramientas que les otorgan control. Una vez dentro, utilizan herramientas como WinSCP o versiones camufladas de Rclone para extraer silenciosamente datos confidenciales.

Tras robar los datos, SRG envía notas de rescate exigiendo el pago para evitar la divulgación o venta de la información robada. En ocasiones, incluso realizan llamadas telefónicas para presionar a las empresas a negociar.

De forma similar a sus correos electrónicos de phishing haciéndose pasar por una empresa con una suscripción, SRG también llama a los empleados de la empresa víctima para presionarlos a negociar un rescate.

El FBI

Cabe destacar que la alerta del FBI se produjo el mismo día que el informe de Cofense Intelligence de mayo de 2025 reveló un abuso generalizado de las herramientas de acceso remoto (RAT) por parte de grupos cibercriminales. El informe identificó a ConnectWise ScreenConnect como la RAT más frecuentemente utilizada en los ataques de 2025 hasta la fecha.

Los bufetes de abogados son objetivos atractivos debido a la naturaleza de su trabajo, como la información confidencial de sus clientes, las negociaciones corporativas y la documentación legal sensible. Una filtración de datos en este caso no solo amenaza con pérdidas financieras, sino que también supone un grave daño a la reputación.

Sin embargo, no es solo recientemente que los ciberdelincuentes han estado atacando a los bufetes de abogados y la valiosa información que poseen. En abril de 2022, investigadores observaron que estafadores utilizaban imágenes generadas por IA para crear identidades falsas de bufetes de abogados.

Una de las razones por las que las campañas de SRG son eficaces es que utilizan herramientas legítimas de administración de sistemas y acceso remoto, que tienen menos probabilidades de alertar al antivirus. Sus ataques dejan pocos rastros, lo que dificulta las investigaciones y la protección posteriores.

Por eso, el FBI insta a todos, incluyendo a investigadores e incluso a las víctimas, a compartir cualquier nota de rescate utilizada por SRG durante los ataques. Si tiene el número de teléfono que el grupo usó para llamar, la dirección de la billetera que proporcionaron o incluso grabaciones de llamadas de voz, el FBI busca esa información.

La alerta del FBI recomendó a los administradores de red estar atentos a descargas inusuales de herramientas como Zoho Assist, AnyDesk , Splashtop, Syncro o Atera, y prestar atención a transferencias de archivos externos inexplicables mediante WinSCP o Rclone.

Otras señales de alerta incluyen correos electrónicos inesperados sobre renovaciones de suscripciones, llamadas extrañas o mensajes de voz que afirman robo de datos y contacto no solicitado de personas que dicen ser parte del equipo de TI de la empresa.

El Grupo de Rescate Silencioso (SRG), también conocido como Luna Moth o Chatty Spider, tiene como objetivo a bufetes de abogados. Sus tácticas incluyen llamadas de ingeniería social informática y correos electrónicos de phishing de devolución de llamada para acceder remotamente a dispositivos y robar datos con fines de extorsión. Más información sobre los IOC y TTP de SRG: https://t.co/ro96zjD1hA pic.twitter.com/pBAd89WaBJ

— FBI (@FBI) 23 de mayo de 2025

El FBI recomienda prestar mucha atención a las prácticas básicas de ciberseguridad. Esto incluye capacitar al personal para detectar intentos de phishing y tácticas de ingeniería social, así como establecer directrices internas claras sobre cómo el equipo de TI se comunica con los empleados.

Además, el uso de contraseñas seguras junto con la autenticación de dos factores (2FA) en toda la organización y el mantenimiento de copias de seguridad de datos periódicas también pueden ayudar a reducir el daño en caso de una violación.