FBI alerta sobre grupo de resgate silencioso que visa escritórios de advocacia por meio de ligações fraudulentas

O FBI emitiu um alerta aos escritórios de advocacia dos EUA sobre uma crescente ameaça cibernética que visa o setor jurídico. Um grupo conhecido como Silent Ransom Group (SRG), também conhecido como Luna Moth ou Chatty Spider, concentra seus ataques contra escritórios de advocacia desde o início de 2023, utilizando uma combinação de e-mails de phishing e ligações de engenharia social para obter acesso a dados jurídicos confidenciais.

Este grupo não é novato. Em operação desde 2022, o SRG tem um histórico de segmentação de setores como saúde e seguros. Mas, nos últimos meses, escritórios de advocacia se tornaram seu principal alvo, provavelmente devido às informações confidenciais de clientes que gerenciam.

Em novembro de 2023, o FBI emitiu um alerta destacando o uso de phishing de retorno de chamada pelo SRG para invadir redes. Nesses ataques, o grupo envia mensagens de phishing projetadas como imagens impossíveis de clicar, muitas vezes criando uma falsa sensação de urgência e fornecendo um número de telefone para o destinatário ligar. Essa tática contorna os filtros tradicionais de segurança de e-mail e induz as vítimas a entrarem em contato, onde os invasores as induzem a comprometer seus próprios sistemas.

Em linha com seus tickets, as novas campanhas de phishing da SRG também são enganosamente simples. Elas enviam e-mails fingindo ser de empresas que oferecem serviços de assinatura, alertando o destinatário sobre uma pequena cobrança questionável. Para cancelar, as vítimas são instruídas a ligar para um número fornecido no e-mail. Nessa ligação, os invasores convencem a vítima a baixar um software de acesso remoto, dando à SRG um ponto de entrada nos sistemas da empresa.

No entanto, a novidade desta campanha é que a SRG começou a ligar diretamente para os funcionários, fingindo ser do departamento de TI da empresa. Eles instruem o funcionário a participar de uma sessão remota ou visitar uma página específica, instalando novamente ferramentas que dão controle aos invasores. Uma vez lá dentro, eles usam ferramentas como o WinSCP ou versões disfarçadas do Rclone para exfiltrar discretamente dados confidenciais.

Após o roubo dos dados, a SRG envia notas de resgate exigindo pagamento para impedir a divulgação ou venda das informações roubadas. Às vezes, eles até fazem ligações telefônicas para pressionar as empresas a negociar.

“Semelhante aos e-mails de phishing que se passam por uma empresa com uma assinatura, o SRG também liga para funcionários de uma empresa vítima para pressioná-los a negociar um resgate.”

O FBI

Vale ressaltar que o alerta do FBI veio no mesmo dia em que o relatório de maio de 2025 da Cofense Intelligence revelou o abuso generalizado de Ferramentas de Acesso Remoto (RATs) por grupos cibercriminosos. O relatório identificou o ConnectWise ScreenConnect como a RAT mais frequentemente abusada em ataques de 2025 até o momento.

Escritórios de advocacia são alvos atraentes devido à natureza de seu trabalho, como informações confidenciais de clientes, negociações corporativas e documentos jurídicos sigilosos. Uma violação nesse caso não representa apenas uma ameaça de perda financeira; também pode causar sérios danos à reputação.

No entanto, não é apenas recentemente que os cibercriminosos têm como alvo escritórios de advocacia e as informações valiosas que eles guardam. Em abril de 2022, pesquisadores observaram golpistas usando imagens geradas por IA para criar identidades falsas de escritórios de advocacia.

Um dos motivos pelos quais as campanhas da SRG são eficazes é que elas utilizam ferramentas legítimas de gerenciamento de sistemas e acesso remoto, que têm menor probabilidade de alertar o antivírus. Seus ataques deixam poucos rastros, dificultando as investigações e a proteção pós-ataque.

É por isso que o FBI está pedindo a todos, incluindo pesquisadores e até mesmo vítimas, que compartilhem quaisquer notas de resgate usadas pelo SRG durante os ataques. Se você tiver o número de telefone para o qual o grupo ligou, o endereço da carteira que eles forneceram ou até mesmo gravações de chamadas de voz, o FBI está buscando essas informações.

O alerta do FBI aconselhou os administradores de rede a ficarem atentos a downloads incomuns de ferramentas como Zoho Assist, AnyDesk , Splashtop, Syncro ou Atera, e a prestar atenção a transferências de arquivos externos inexplicáveis ​​usando WinSCP ou Rclone.

Outros sinais de alerta incluem e-mails inesperados sobre renovações de assinatura, chamadas estranhas ou mensagens de voz alegando roubo de dados e contato não solicitado de pessoas que dizem fazer parte da equipe de TI da empresa.

O Silent Ransom Group (SRG), também conhecido como Luna Moth ou Chatty Spider, está mirando escritórios de advocacia. As táticas incluem ligações de engenharia social de TI e e-mails de phishing de retorno de chamada para acessar dispositivos remotamente e roubar dados para fins de extorsão. Saiba mais sobre os IOCs e TTPs do SRG: https://t.co/ro96zjD1hA pic.twitter.com/pBAd89WaBJ

— FBI (@FBI) 23 de maio de 2025

O FBI recomenda muita atenção às práticas básicas de segurança cibernética. Isso inclui treinar a equipe para identificar tentativas de phishing e táticas de engenharia social, além de definir diretrizes internas claras sobre como a equipe de TI se comunica com os funcionários.

Além disso, usar senhas fortes junto com autenticação de dois fatores (2FA) em toda a organização e manter backups regulares de dados também pode ajudar a reduzir os danos em caso de violação.