Silent Ransom Group usa chamadas falsas de suporte de TI para atacar escritórios de advocacia nos EUA

O Silent Ransom Group não está apenas usando chamadas de vishing, está orquestrando uma campanha híbrida de engenharia social com três vetores simultâneos: telefonemas falsos de suporte, visitas presenciais a escritórios e exploração de ferramentas legítimas de acesso remoto. Dados da Mandiant confirmam que, após obter credenciais via chamada, os atacantes se conectam diretamente a sistemas como iManage, NetDocuments e SharePoint Online, extraindo documentos sensíveis antes mesmo do ransomware ser implantado. Isso explica por que 73% dos alvos relataram perda de dados confidenciais antes do bloqueio de arquivos, um desvio claro do padrão tradicional de ransomware focado só em criptografia.

A tática de instalar AnyDesk ou Zoho Assist não é acidental: essas ferramentas são raramente bloqueadas por EDRs corporativos e permitem persistência silenciosa por dias. Em pelo menos 12 casos documentados, os invasores mantiveram sessões ativas por até 72 horas, mapeando redes internas e escalando privilégios via credenciais reutilizadas em serviços de nuvem, o que torna a resposta pós-invasão muito mais complexa do que simplesmente reiniciar máquinas.

Em 28 de maio, o CEVIU noticiou que o grupo fazia visitas presenciais com drives USB; em 8 de junho, a Mandiant revelou que essa fase foi substituída por chamadas de vishing em escala industrial, mas sem abandonar o contato físico. Agora, os ataques combinam os dois: uma chamada inicial cria urgência ('seu sistema está comprometido'), seguida, em até 48h, por uma visita marcada como 'suporte emergencial', aproveitando a confiança já construída. O que era uma tática isolada virou um fluxo operacional padronizado, e o uso de ferramentas de acesso remoto deixou de ser pontual para ser o vetor principal de persistência.

Escritórios de advocacia são alvos ideais: possuem dados altamente sensíveis (contratos, depoimentos, informações de clientes), pouca maturidade em cibersegurança e processos de TI descentralizados. Mas o risco vai além: a exfiltração pré-ransomware permite chantagem dupla, cobrar resgate *e* ameaçar vazamento. O FBI já registrou 3 casos em que dados roubados foram usados para extorquir clientes individuais das firmas, contornando totalmente a política de negociação com o alvo principal. Isso transforma o Silent Ransom de grupo de ransomware em operador de espionagem comercial com capacidade de dano jurídico e reputacional imediato.