FBI a transmis un avertisment privind o campanie a grupării de extorcare Silent Ransom Group (SRG), care vizează acum firme de avocatură din Statele Unite prin atacuri de furt de date desfășurate și în persoană. Potrivit agenției, actorii SRG folosesc o schemă de inginerie socială prin care se prezintă drept angajați ai departamentului IT al victimei.
Ce a anunțat FBI
În flash alert-ul publicat de FBI, gruparea este descrisă ca folosind apeluri telefonice directe sau emailuri de tip phishing pentru a convinge angajații să sune un presupus suport IT controlat de atacatori. În timpul convorbirii, persoana care se dă drept IT îi îndrumă pe angajați să permită accesul la o sesiune de desktop la distanță.
Cum funcționează tactica
Dacă această încercare eșuează, FBI spune că SRG poate trimite un atacator la locația victimei pentru a obține acces fizic la computer. În acest scenariu, datele pot fi sustrase prin conectarea unor dispozitive USB sau a unor hard diskuri externe la sistemele companiei.
Agenția a indicat și câteva semne posibile ale unui astfel de atac: instalarea neautorizată a unor hard diskuri externe sau stickuri USB pe calculatoarele companiei și prezența unor persoane neidentificate sau neautorizate care pretind că sunt de la IT și încearcă să acceseze computerele.
De ce contează pentru firmele vizate
FBI a precizat că SRG folosește datele furate pentru a extorca victimele, trimițând emailuri de răscumpărare în care amenință că le va vinde sau publica pe site-ul său de leak. Gruparea mai poate apela angajații sau clienții victimelor pentru a pune presiune asupra lor și a-i determina să înceapă negocierile.
Potrivit agenției, SRG este cunoscută și sub numele de Luna Moth, Chatty Spider și UNC3753. Gruparea este activă cel puțin din 2022 și a vizat organizații juridice și financiare din SUA încă de la începutul lui 2023.
Contextul campaniei
Avertismentul de săptămâna aceasta vine după o notificare privată emisă de FBI în mai 2025, care spunea că aceeași grupare urmărea firme de avocatură din SUA prin callback phishing și alte tactici de inginerie socială de mai bine de doi ani. Tot în mai 2025, un raport EclecticIQ a arătat că atacatorii înregistrează domenii menite să imite portaluri de helpdesk sau suport IT pentru firme mari de avocatură și companii de servicii financiare din SUA, folosind tipare de tip typosquatting.
Separat, BleepingComputer a relatat anterior că același grup a fost legat și de campanii BazarCall care au oferit acces inițial la rețele corporative în atacuri ransomware asociate cu Conti și Ryuk. După destrămarea Conti în martie 2022, actorii s-ar fi separat de sindicatul cibernetic și ar fi format Silent Ransom Group, orientată în principal spre furt de date și extorcare.
Ce urmează
Mesajul FBI sugerează că organizațiile vizate trebuie să trateze cu atenție orice solicitare neobișnuită de acces IT, mai ales când implică apeluri nesolicitate, emailuri suspecte sau persoane care se prezintă la sediu fără o verificare clară. În acest caz, componenta fizică a atacului face ca riscul să nu mai fie limitat la mediul online, ci să includă și accesul direct la echipamentele companiei.
În lipsa unor detalii suplimentare despre victimele recente, avertismentul rămâne un semnal că tacticile de extorcare continuă să evolueze, combinând phishingul clasic cu intervenția în persoană pentru a ocoli controalele obișnuite de securitate.
