Grupo Silent Ransom mira escritórios de advocacia com falso suporte de TI

O Silent Ransom (UNC3753) não é um grupo de ransomware tradicional, é um operador de extorsão de dados puro, que surgiu em 2022 da dissolução do Conti e opera desde a Rússia. Seu modelo econômico depende da velocidade de exfiltração e da pressão regulatória: ele não criptografa sistemas, mas explora o fato de que escritórios de advocacia armazenam dados sensíveis em nuvem (como SharePoint, OneDrive e sistemas de gerenciamento de documentos jurídicos) sem controles de acesso granulares, auditoria de download ou DLP efetivo. A nova tática de chamadas de suporte de TI falsas, reportada pela Mandiant em 8 de junho, é uma evolução direta da abordagem física já alertada pelo FBI em 28 de maio, agora o grupo prioriza o acesso remoto via ferramentas legítimas (AnyDesk, Zoho Assist), reduzindo risco operacional e aumentando escala. Em alguns casos, o ciclo completo, do primeiro e-mail de phishing à exfiltração de contratos jurídicos e arquivos financeiros, leva menos de 60 minutos.

Isso expõe falhas estruturais na governança de TI jurídica: muitos escritórios ainda não adotam MFA obrigatório em contas de administrador de nuvem, não restringem instalação de software por usuários finais e não monitoram atividades de compartilhamento de tela ou sessões remotas em tempo real. O custo operacional dessa vulnerabilidade não é só o resgate, é a multa potencial sob a LGPD (art. 46, parágrafo único), a perda de clientes por quebra de confiança contratual e o risco de ações civis coletivas por vazamento de PII de terceiros.

Em 28 de maio, o CEVIU noticiou o uso de visitas físicas pelo Silent Ransom após falha no acesso remoto. Agora, em 8 de junho, a Mandiant confirma que o grupo está priorizando o canal remoto, com chamadas telefônicas mais sofisticadas, pré-textos baseados em migração de e-mail e faturas falsas, e uso de ferramentas de RMM legítimas. Isso não substituiu, mas suplantou a tática física como primeira opção: o FBI alertou sobre a visita presencial como fallback; hoje, ela é exceção, não regra. Também houve mudança no alvo técnico: antes, os atacantes focavam em credenciais de e-mail; agora, buscam diretamente acesso a pastas compartilhadas no SharePoint e a repositórios de documentos jurídicos com permissões excessivas.

Escritórios de advocacia são alvos ideais porque concentram dados altamente sensíveis com baixa maturidade em segurança de nuvem, e muitos ainda tratam compliance como checklist, não como arquitetura. Um único acesso remoto autorizado por engenharia social pode expor milhares de processos, acordos de confidencialidade e dados bancários de clientes. A ameaça não está no malware, mas na ausência de políticas de acesso just-in-time, na falta de segmentação de rede entre ambientes de colaboração e de produção jurídica, e na ausência de resposta automatizada a sessões remotas suspeitas. Para CIOs e DPOs, isso exige repensar o modelo de suporte interno: quem autoriza instalação de AnyDesk? Quem valida chamadas de 'TI externa'? E onde estão os logs dessas sessões, e quem os revisa?