O Google e o Federal Bureau of Investigation (FBI) dos Estados Unidos alertaram que um grupo de ransomware chamado Silent Ransom Group está aprimorando seus ataques contra escritórios de advocacia nos Estados Unidos. Além de e-mails de phishing e engenharia social comuns, o grupo, em alguns casos, envia indivíduos disfarçados como técnicos de suporte de TI para entrar nos escritórios das vítimas, acessar diretamente os computadores e roubar dados.
O ataque evoluiu de spoofing remoto para contato físico
A Mandiant, subsidiária do Google, e o Google Threat Intelligence Group afirmaram em seu relatório mais recente que, de janeiro a maio deste ano, o grupo realizou ataques contra dezenas de vítimas, utilizando técnicas que incluem a obtenção de acesso por meio de “contato presencial e direto”.
O FBI também emitiu um alerta no mês passado, afirmando que a quadrilha se passa por funcionários de suporte de TI corporativo, orientando os funcionários a realizar operações por telefone, e-mail e outros meios. Em alguns casos, os impostores entraram nos escritórios, conectaram-se aos dispositivos dos funcionários e transferiram dados usando dispositivos de armazenamento USB ou ferramentas de acesso remoto.
Os dados de destino incluem contratos, impostos e informações pessoais
De acordo com divulgações do Google e do FBI, as informações roubadas incluem documentos contratuais, números de seguro social e outras informações de identificação pessoal, bem como registros financeiros e fiscais. Esses dados foram posteriormente utilizados para extorsão.
Diferentemente dos ransomwares tradicionais, esse tipo de ataque não necessariamente criptografa os sistemas das vítimas. O grupo geralmente primeiro rouba os dados e depois exige pagamento ameaçando divulgar as informações publicamente.
- Tempo de ataque: janeiro a maio de 2026
- Objetivo principal: escritórios de advocacia dos EUA e outras instituições
- Táticas comuns: impersonação de suporte de TI, compartilhamento de tela, roubo via USB, controle remoto
Utilizar "questões de segurança" para estabelecer confiança e depois realizar roubo
O Google afirma que os atacantes geralmente entram em contato com funcionários alegando lidar com eventos de segurança ou auxiliar na migração de dados da empresa, induzindo-os a participar de sessões de compartilhamento de tela. Em seguida, os atacantes convencem as vítimas a baixar e abrir software de compartilhamento de tela ou aproveitam diretamente funcionalidades integradas em aplicativos como Zoom e Microsoft Teams para obter controle.
O Google afirmou que esses casos mostram que alguns hackers estão combinando ataques cibernéticos tradicionais com contato físico no mundo real, aumentando ainda mais a dificuldade de proteção das empresas. Para instituições que dependem de suporte de TI externo e possuem processos internos de verificação fracos, o risco desses ataques de impersonificação é particularmente elevado.