Google e FBI alertam sobre grupo de ransomware que envia falsos funcionários de TI para hackear vítimas pessoalmente

Uma gangue de ransomware intensificou seus ataques a escritórios de advocacia, às vezes enviando pessoalmente falsos funcionários de TI aos escritórios das vítimas, onde os impostores roubam dados diretamente dos computadores das vítimas usando unidades USB ou ajudam outros membros da gangue a se conectarem remotamente aos computadores, de acordo com o Google e o FBI.

Na sexta-feira, as equipes de segurança cibernética do Google, Mandiant e Google Threat Intelligence Group publicou um novo relatório acusando a gangue cibercriminosa conhecida como Silent Ransom Group de tentar roubar informações das vítimas “usando acesso físico e pessoal” em ataques de janeiro a maio deste ano que atingiram “dezenas” de vítimas.

“A Mandiant investigou vários assuntos em que adversários plantaram informações privilegiadas, subornaram funcionários ou entraram fisicamente em edifícios para facilitar ataques cibernéticos”, disse o diretor de tecnologia da Mandiant, Charles Carmakal, ao TechCrunch em um comunicado, acrescentando que a empresa também viu essa tática ser usada em outros casos ao longo dos anos.

Mês passado, o FBI publicou um alerta alertando que o Silent Ransom Group tinha como alvo escritórios de advocacia com engenharia social e ataques de phishing, fingindo ser funcionários de suporte de TI. Mas, em alguns casos, o grupo enviou falsos funcionários de suporte de TI aos escritórios das vítimas, onde se ligaram aos computadores dos funcionários e usaram unidades USB ou ferramentas de acesso remoto para roubar dados como contratos, informações pessoais como números de Segurança Social e registos financeiros e fiscais.

Um porta-voz do FBI disse ao TechCrunch: “Podemos confirmar que vimos vários casos de indivíduos se passando por suporte de TI que obtiveram ou tentaram obter acesso físico aos escritórios e/ou dispositivos das empresas vítimas como parte do esquema do Silent Ransom Group para exfiltrar dados.”

No que hoje é uma tática de extorsão comum – que não envolve realmente a criptografia dos dados das vítimas como nos ataques tradicionais de ransomware – a gangue tem seu próprio site de vazamento, onde ameaça as vítimas com a publicação de seus dados roubados e depois os publica se a vítima não pagar.

Isso geralmente acontece depois que os hackers enviam e-mails diretamente às vítimas para ameaçá-las.

“Em caso de desconhecimento ou não acordo, notificaremos seus funcionários, parceiros e clientes, após o que publicaremos seus dados”, escreveram os hackers a uma vítima, segundo o Google.

De acordo com o relatório do Google, os hackers também usam métodos mais tradicionais, como e-mails de phishing, ligações telefônicas de acompanhamento e engenharia social. Os cibercriminosos fingem ser o suporte de TI da empresa para enganar as vítimas e fazê-las conceder acesso aos seus computadores.

“Os chamadores usam uma variedade de instruções verbais para orientar o comportamento do alvo. Sob o pretexto de abordar um problema de segurança ou ajudar em um projeto de migração de dados corporativos, eles constroem confiança e direcionam o alvo para participar de uma sessão de compartilhamento de tela”, escreveram os pesquisadores do Google. Os hackers então contornam os controles de segurança, convencendo as vítimas a baixar e abrir aplicativos de compartilhamento de tela ou usando recursos de compartilhamento de tela em aplicativos como Zoom ou Microsoft Teams.

Embora os hackers na maioria das vezes roubem dados remotamente através de malware ou ataques de phishing, estes casos mostram que alguns hackers estão agora dispostos a levar os seus crimes um passo adiante, misturando técnicas tradicionais de hacking com invasões físicas, numa escalada nova e significativa.