Le FBI met en garde contre un groupe de rançon silencieux ciblant les cabinets d'avocats via des appels frauduleux

Le FBI a lancé un avertissement aux cabinets d'avocats américains concernant une cybermenace croissante visant le secteur juridique. Un groupe connu sous le nom de Silent Ransom Group (SRG), également appelé Luna Moth ou Chatty Spider, concentre ses attaques sur les cabinets d'avocats depuis début 2023, utilisant une combinaison d'e-mails de phishing et d'appels d'ingénierie sociale pour accéder à des données juridiques sensibles.

Ce groupe n'est pas nouveau. En activité depuis 2022, SRG cible depuis longtemps des secteurs tels que la santé et l'assurance. Mais ces derniers mois, les cabinets d'avocats sont devenus leur cible privilégiée, probablement en raison des informations sensibles qu'ils traitent sur leurs clients.

En novembre 2023, le FBI a publié une alerte soulignant l'utilisation par SRG du phishing par rappel pour pirater les réseaux. Lors de ces attaques, le groupe envoie des messages d'hameçonnage conçus comme des images non cliquables, créant souvent un faux sentiment d'urgence et fournissant un numéro de téléphone à appeler. Cette tactique contourne les filtres de sécurité traditionnels des e-mails et incite les victimes à prendre contact, puis les attaquants les incitent à compromettre leurs propres systèmes.

Conformément à leurs tickets, les nouvelles campagnes d'hameçonnage de SRG sont d'une simplicité trompeuse. Elles envoient des courriels se faisant passer pour des entreprises proposant des services d'abonnement, avertissant le destinataire de frais minimes et douteux. Pour annuler, les victimes sont invitées à appeler un numéro indiqué dans le courriel. Lors de cet appel, les attaquants convainquent la victime de télécharger un logiciel d'accès à distance, offrant ainsi à SRG un point d'entrée dans les systèmes de l'entreprise.

La nouveauté de cette campagne réside dans le fait que SRG a commencé à appeler directement les employés, se faisant passer pour le service informatique de l'entreprise. Ils leur demandent de rejoindre une session à distance ou de consulter une page web spécifique, installant là encore des outils qui leur donnent le contrôle. Une fois à l'intérieur, ils utilisent des outils comme WinSCP ou des versions déguisées de Rclone pour exfiltrer discrètement des données sensibles.

Après avoir volé les données, SRG envoie des demandes de rançon exigeant le paiement d'une rançon pour empêcher la divulgation ou la vente des informations volées. Parfois, ils effectuent même des appels téléphoniques pour contraindre les entreprises à négocier.

« De la même manière qu'ils envoient des e-mails de phishing se faisant passer pour une entreprise disposant d'un abonnement, SRG appelle également les employés d'une entreprise victime pour les pousser à négocier une rançon. »

Le FBI

Il convient de noter que l'alerte du FBI est intervenue le jour même où le rapport de mai 2025 de Cofense Intelligence révélait une utilisation abusive généralisée des outils d'accès à distance (RAT) par des groupes cybercriminels. Ce rapport identifiait ConnectWise ScreenConnect comme l'attaque RAT la plus fréquemment utilisée à ce jour.

Les cabinets d'avocats constituent des cibles attractives en raison de la nature de leur activité, notamment en ce qui concerne les informations confidentielles des clients, les négociations d'entreprise et les documents juridiques sensibles. Une violation de ces données ne représente pas seulement une menace de perte financière, mais aussi un risque de grave atteinte à la réputation.

Cependant, ce n'est pas seulement récemment que les cybercriminels ciblent les cabinets d'avocats et les précieuses informations qu'ils détiennent. En avril 2022, des chercheurs ont observé des escrocs utilisant des images générées par l'IA pour créer de fausses identités de cabinets d'avocats.

L'efficacité des campagnes de SRG réside notamment dans l'utilisation d'outils légitimes de gestion de système et d'accès à distance, moins susceptibles d'alerter les antivirus. Leurs attaques laissent peu de traces, ce qui complique les investigations et la protection post-attaque.

C'est pourquoi le FBI exhorte tout le monde, y compris les chercheurs et même les victimes, à partager les demandes de rançon utilisées par SRG lors des attaques. Si vous disposez du numéro de téléphone utilisé par le groupe, de l'adresse de portefeuille fournie, voire des enregistrements d'appels vocaux, le FBI recherche ces informations.

L'alerte du FBI a conseillé aux administrateurs réseau de surveiller les téléchargements inhabituels d'outils tels que Zoho Assist, AnyDesk , Splashtop, Syncro ou Atera, et de prêter attention aux transferts de fichiers externes inexpliqués utilisant WinSCP ou Rclone.

D'autres signaux d'alarme incluent des e-mails inattendus concernant le renouvellement des abonnements, des appels étranges ou des messages vocaux prétendant à un vol de données et des contacts non sollicités de personnes prétendant faire partie de l'équipe informatique de l'entreprise.

Le groupe Silent Ransom (SRG), alias Luna Moth ou Chatty Spider, cible les cabinets d'avocats. Ses tactiques incluent des appels d'ingénierie sociale et des e-mails de phishing de rappel pour accéder à distance aux appareils et voler des données à des fins d'extorsion. Pour en savoir plus sur les IOC et les TTP du SRG : https://t.co/ro96zjD1hA pic.twitter.com/pBAd89WaBJ

— FBI (@FBI) 23 mai 2025

Le FBI recommande d'accorder une attention particulière aux pratiques de base en matière de cybersécurité. Cela inclut la formation du personnel à la détection des tentatives d'hameçonnage et des tactiques d'ingénierie sociale, et l'établissement de directives internes claires sur la manière dont l'équipe informatique communique avec les employés.

De plus, l’utilisation de mots de passe forts ainsi que l’authentification à deux facteurs (2FA) dans toute l’organisation et le maintien de sauvegardes de données régulières peuvent également contribuer à réduire les dommages en cas de violation.