O FBI emitiu um alerta sobre uma campanha de extorsão conduzida pelo grupo criminoso conhecido como Silent Ransom Group, também chamado de Luna Moth, que tem como alvo escritórios de advocacia nos Estados Unidos. A ofensiva, identificada em 2026, marca uma evolução nas estratégias do grupo, ativo desde pelo menos 2022.
Diferentemente das operações tradicionais de ransomware, os criminosos não criptografam arquivos nem bloqueiam sistemas. Em vez disso, roubam informações confidenciais e ameaçam divulgar ou vender os dados caso a vítima se recuse a pagar o resgate.
Como funciona o golpe
O ataque começa por meio de engenharia social, explorando a confiança dos funcionários.
A abordagem normalmente ocorre por telefone ou e-mail. Os criminosos entram em contato se passando por integrantes do departamento de TI da própria organização e alegam a necessidade de corrigir um problema técnico, geralmente relacionado a um suposto e-mail malicioso recebido anteriormente.
Durante a conversa, a vítima é convencida a conceder acesso remoto ao computador. Para isso, os criminosos utilizam softwares legítimos de suporte remoto, amplamente conhecidos no ambiente corporativo, como Zoho Assist, AnyDesk e Splashtop.
Uma vez dentro do sistema, os invasores iniciam imediatamente a cópia de arquivos sensíveis.
Criminosos podem comparecer presencialmente
O ponto mais alarmante da campanha é a mudança de tática quando o acesso remoto falha.
Segundo o FBI, integrantes do grupo podem enviar uma pessoa fisicamente até o escritório da vítima. O indivíduo se apresenta como técnico de TI autorizado e solicita acesso ao computador, afirmando precisar realizar backup, manutenção ou transferência de dados.
Nesse processo, dispositivos externos, como pendrives, HDs ou SSDs, são conectados às máquinas para copiar informações diretamente do ambiente corporativo.
A estratégia reduz suspeitas e aumenta a chance de sucesso do golpe, especialmente em organizações que não possuem procedimentos rígidos de validação da identidade de equipes técnicas.
Por que o ataque é difícil de detectar
Uma das principais dificuldades na identificação da ameaça está no uso de ferramentas legítimas.
Como os criminosos evitam malware tradicional e operam utilizando programas comuns em ambientes corporativos, antivírus e sistemas convencionais de proteção frequentemente não identificam atividades suspeitas.
Quando o roubo ocorre remotamente, o grupo costuma utilizar softwares como WinSCP e Rclone para transferir dados a servidores externos. Em alguns casos, os arquivos são enviados para plataformas amplamente utilizadas, como serviços de armazenamento em nuvem, incluindo Google Drive e OneDrive, tornando o tráfego malicioso ainda mais difícil de distinguir de operações normais.
A extorsão acontece após o roubo dos dados
Depois da exfiltração das informações, o grupo envia mensagens de extorsão exigindo pagamento para evitar a divulgação pública dos dados roubados.
Além dos e-mails, os criminosos também intensificam a pressão realizando ligações para funcionários e clientes da empresa afetada. O grupo ainda mantém uma estrutura online própria utilizada para publicar informações de vítimas que se recusam a negociar.
Escritórios de advocacia tornaram-se um alvo particularmente atrativo porque armazenam dados extremamente sensíveis, como documentos processuais, informações financeiras, estratégias jurídicas e segredos comerciais de clientes.
Como empresas podem se proteger
O FBI recomenda que organizações adotem medidas preventivas voltadas principalmente à validação de identidade e à conscientização dos funcionários.
Entre as principais ações sugeridas estão:
- Estabelecer políticas claras de autenticação para atendimentos do setor de TI;
- Nunca liberar acesso remoto ou físico sem validação prévia da identidade do solicitante;
- Treinar colaboradores para reconhecer tentativas de engenharia social e phishing;
- Implementar autenticação multifator resistente a ataques de phishing;
- Restringir o uso de dispositivos externos em computadores com informações sensíveis;
- Manter backups frequentes e protegidos de dados críticos.
Como a campanha depende mais de manipulação psicológica do que de vulnerabilidades técnicas, especialistas reforçam que a principal linha de defesa continua sendo a combinação entre processos internos bem definidos e treinamento constante das equipes.
