Google et le FBI ont averti qu'un groupe de rançongiciels nommé Silent Ransom Group intensifie ses attaques contre des cabinets d'avocats aux États-Unis. Outre les courriels d'hameçonnage et les techniques d'ingénierie sociale courantes, ce groupe envoie parfois des agents se faisant passer pour du personnel informatique pour pénétrer dans les bureaux des victimes, accéder directement aux ordinateurs et voler des données.
L'attaque passe de la tromperie à distance à un contact en personne
Mandiant, filiale de Google, et le Google Threat Intelligence Group indiquent dans leur dernier rapport que, de janvier à mai de cette année, ce groupe a mené des attaques contre des dizaines de victimes, en utilisant des méthodes incluant l'obtention d'accès par « contact physique en personne ».
Le FBI a également émis une alerte le mois dernier indiquant que le groupe se faisait passer pour du personnel informatique d'entreprise, incitant les employés à coopérer par téléphone, e-mail, etc. Dans certains cas, les imposteurs se rendaient sur place dans les bureaux, se connectaient aux appareils des employés et transféraient des données à l'aide de périphériques de stockage USB ou d'outils d'accès à distance.
Les données cibles incluent les contrats, les impôts et les informations personnelles
Selon les révélations de Google et du FBI, les informations volées incluent des documents contractuels, des numéros de sécurité sociale et d'autres informations d'identité personnelle, ainsi que des dossiers financiers et fiscaux. Ces données ont ensuite été utilisées à des fins de rançon.
Contrairement aux logiciels de rançon traditionnels, ces attaques ne cryptent pas nécessairement les systèmes des victimes. Le groupe préfère généralement voler les données, puis exiger un paiement en menaçant de les publier.
- Heure de l'attaque : janvier à mai 2026
- Objectif principal : cabinets d'avocats américains et autres institutions
- Méthodes courantes : impersonation du support informatique, partage d'écran, vol via USB, prise de contrôle à distance
Vol effectué après avoir établi la confiance en invoquant des « problèmes de sécurité »
Google affirme que les attaquants contactent généralement les employés en prétendant gérer un incident de sécurité ou aider à la migration des données de l'entreprise, afin de les inciter à rejoindre une session de partage d'écran. Ensuite, ils convainquent les victimes de télécharger et d'ouvrir un logiciel de partage d'écran, ou exploitent directement les fonctionnalités intégrées d'applications telles que Zoom ou Microsoft Teams pour obtenir le contrôle.
Google indique que ces affaires révèlent que certains pirates combinent des attaques cybernétiques traditionnelles avec un contact physique dans le monde réel, augmentant ainsi la difficulté pour les entreprises de se protéger. Ces attaques d'usurpation présentent un risque particulièrement élevé pour les organisations qui dépendent d'un support IT externe et disposent de processus de vérification internes faibles.