Grupo financeiramente motivado mirou serviços jurídicos, financeiros e profissionais entre janeiro e maio de 2026 para roubar arquivos sensíveis e pressionar vítimas com ameaças de publicação.
| Componente | Ambientes corporativos acessados por sessões de compartilhamento de tela, ferramentas RMM legítimas, VDI, unidades de rede mapeadas, diretórios locais e repositórios em nuvem. |
| Vetor | Vishing com pretextos de migração de dados ou cobrança, e-mails benignos de abertura de conversa, falsa atuação como suporte de TI e, em alguns casos, presença física como técnico de TI. |
| Impacto | Roubo confirmado de acordos jurídicos proprietários, informações pessoais identificáveis e registros financeiros, seguido de extorsão com prazo curto para negociação. |
| Prioridade | Restringir e monitorar ferramentas RMM, validar solicitações de suporte fora de banda, revisar acessos a VDI e investigar exfiltração por WinSCP, Rclone, mídia removível e envio de e-mail pelo mailbox da vítima. |
| Artefatos | AnyDesk, Bomgar, SuperOps RMM, Zoho Assist, Zoom, Microsoft Teams, Quick Assist, WinSCP, Rclone e instruções transmitidas por privnote[.]com. |
| Alvos | Dezenas de organizações nos Estados Unidos nos setores de serviços profissionais, jurídicos e financeiros entre janeiro e maio de 2026. |
Uma campanha de extorsão por roubo de dados atribuída ao UNC3753 atingiu dezenas de organizações dos Estados Unidos entre janeiro e maio de 2026, com foco em empresas de serviços profissionais, escritórios jurídicos e instituições ligadas a serviços financeiros. O grupo também é associado aos nomes Chatty Spider, Luna Moth e Silent Ransom Group, e opera com motivação financeira. A atividade descrita não depende de malware inicial, anexo malicioso ou link de phishing tradicional como condição central; o ponto de entrada é a manipulação direta de usuários por telefone, combinada com ferramentas legítimas de suporte remoto e, em casos específicos, intrusão física em escritórios.
O fluxo observado explora a confiança em processos internos de suporte. Os operadores iniciam contato com mensagens simples, normalmente ligadas a faturas ou migração de dados, sem artefatos técnicos obviamente maliciosos. Essas mensagens servem para criar um motivo plausível para uma ligação posterior. Durante a chamada, o atacante se passa por equipe de TI e induz a vítima a abrir uma sessão de compartilhamento de tela em plataformas corporativas conhecidas ou a instalar utilitários de monitoramento e gerenciamento remoto. Com a sessão ativa, o grupo procura arquivos sensíveis diretamente ou convence a própria vítima a executar ações que beneficiam a coleta.
A campanha se destaca por combinar engenharia social guiada por voz, uso de software legítimo e pressão operacional rápida após a saída do ambiente. Os dados visados incluem acordos jurídicos proprietários, informações pessoais identificáveis e registros financeiros. Depois da coleta, os operadores enviam mensagens de extorsão, normalmente em até 30 minutos após deixarem o ambiente comprometido, impondo prazo de três dias para início de negociação e ameaçando acionar funcionários, clientes externos e um site de vazamento chamado LEAKEDDATA.
A cadeia começa com um pretexto de baixo ruído. Em vez de anexar malware ou incorporar URLs suspeitas, os operadores usam contas de e-mail de consumo sob seu controle para enviar mensagens curtas e genéricas com tema de cobrança ou processo administrativo. A finalidade é deslocar a vítima para um canal de voz, onde controles de gateway de e-mail, varredura de anexos e bloqueio de links deixam de ser decisivos. A chamada cria uma situação de urgência ou suporte técnico aparente, levando o usuário a aceitar instruções que, isoladamente, podem parecer administrativas.
Quando a vítima aceita a interação, o operador tenta estabelecer visibilidade e controle por compartilhamento de tela. As plataformas citadas incluem Zoom, Microsoft Teams e Quick Assist. Em seguida, o atacante orienta a instalação de ferramentas legítimas de acesso remoto, como AnyDesk, Bomgar, SuperOps RMM ou Zoho Assist. As instruções de instalação foram repassadas por um serviço de notas autodestrutivas em privnote[.]com, o que reduz a disponibilidade posterior do conteúdo usado na engenharia social e dificulta a reconstrução completa do diálogo durante a resposta a incidente.
Com o acesso remoto estabelecido, o grupo enumera diretórios locais, unidades de rede mapeadas, sistemas de arquivos corporativos e diretórios em nuvem. Também foi observado o uso de sessões Zoom iniciadas diretamente em laptops pessoais das vítimas para acessar infraestrutura de desktop virtual corporativa. Esse detalhe amplia o escopo defensivo: o endpoint usado na interação pode não ser o ativo corporativo primário, mas ainda assim funciona como ponte para VDI e dados empresariais. Os diretórios priorizados incluem materiais fiscais, auditorias, contratos com clientes corporativos, acordos jurídicos e registros contendo números de Seguro Social dos EUA.
A etapa de exfiltração varia conforme o ambiente e o nível de controle obtido. Os dados capturados foram enviados por WinSCP, Rclone ou por mensagens encaminhadas do próprio mailbox da vítima para endereços controlados pelo ator. Em alguns casos, a operação saiu do domínio puramente remoto: indivíduos se apresentaram fisicamente como técnicos de TI para entrar em escritórios e tentar copiar dados para disco externo ou mídia USB conectada ao computador da vítima. Essa mudança de tática exige que a investigação correlacione eventos digitais com registros físicos de acesso, recepção, visitantes e câmeras, quando disponíveis.
A superfície exposta não se limita a um produto vulnerável ou a uma versão específica de software. O risco está na interseção entre usuários com acesso a documentos sensíveis, ferramentas legítimas de colaboração, RMM permitido ou não bloqueado, VDI corporativa e processos de suporte que aceitam verificação fraca de identidade. Organizações jurídicas são particularmente atraentes porque concentram documentos de clientes, transações, planos de fusão e aquisição, segredos comerciais e relatórios regulatórios. Esse conjunto aumenta a pressão reputacional e regulatória quando o ator ameaça divulgar os arquivos.
Empresas de serviços financeiros e profissionais também ficam expostas quando usuários conseguem navegar por compartilhamentos de rede, diretórios em nuvem e pastas com baixa segmentação lógica. A campanha mostra que MFA e perímetros técnicos robustos podem ser contornados quando a sessão é iniciada por um usuário legítimo, sob orientação do atacante, em uma ferramenta que a organização reconhece como normal. A ausência de anexos maliciosos nos e-mails iniciais reduz a efetividade de detecção baseada apenas em conteúdo de mensagem.
- Usuários com acesso a pastas jurídicas, fiscais, auditorias, registros financeiros e arquivos de clientes.
- Ambientes que permitem instalação ou execução de AnyDesk, Bomgar, SuperOps RMM, Zoho Assist, WinSCP ou Rclone sem aprovação forte.
- VDI acessível a partir de laptops pessoais usados em sessões de colaboração ou suporte.
- Processos de help desk que não validam identidade do solicitante e do técnico por canal independente.
- Escritórios com controles físicos insuficientes para validar técnicos, visitantes e uso de mídia removível.
A investigação deve começar pela correlação temporal entre e-mails benignos com temas de fatura ou migração, chamadas telefônicas relatadas por usuários, sessões de Zoom, Teams ou Quick Assist e instalação de RMM fora do padrão. Como a etapa inicial pode não gerar indicador malicioso clássico, o valor está em encadear eventos fracos: mensagem incomum, contato de voz, sessão interativa, execução de instalador legítimo, nova conexão remota, enumeração de diretórios e transferência de volume anormal de arquivos.
Em endpoints, a defesa deve revisar processos, instalação recente de clientes RMM, criação de serviços, persistência associada a ferramentas legítimas e execução de utilitários de transferência. Em identidade e VDI, é importante verificar logons iniciados durante a chamada, sessões vindas de dispositivos pessoais, acesso a compartilhamentos sensíveis e navegação incomum por pastas de alto valor. Em e-mail, a busca deve incluir mensagens de saída com anexos ou encaminhamentos para endereços externos controlados pelo atacante, especialmente quando originadas do mailbox do usuário durante ou logo após a sessão remota.
Para casos com possível presença física, a telemetria digital precisa ser combinada com controles de facilities. A conexão de USB ou disco externo, a criação de novos volumes removíveis, cópia de grandes conjuntos de arquivos e presença de visitantes que se passaram por TI são sinais complementares. A resposta não deve tratar a intrusão física como hipótese separada: ela pode ser parte da mesma cadeia de extorsão e explicar exfiltração sem tráfego de rede proporcional.
- E-mails curtos com tema de cobrança, migração de dados ou alerta administrativo enviados por contas de consumo.
- Sessões de Zoom, Microsoft Teams ou Quick Assist seguidas por instalação de RMM legítimo.
- Execução recente de AnyDesk, Bomgar, SuperOps RMM, Zoho Assist, WinSCP ou Rclone em hosts de usuários.
- Acesso incomum a diretórios de impostos, auditoria, contratos, registros financeiros e documentos de clientes.
- Transferência de arquivos por mailbox da vítima, ferramenta de sincronização ou mídia USB conectada durante janela suspeita.
- Mensagem de extorsão recebida pouco tempo após o encerramento da atividade remota.
A resposta inicial deve preservar evidências da sessão remota, isolar endpoints envolvidos, revogar sessões ativas e bloquear ferramentas RMM não aprovadas. Quando uma ferramenta legítima fizer parte do padrão corporativo, a organização deve restringir execução por política, inventariar instalações, exigir aprovação administrativa e registrar conexões externas. Também é necessário revisar logs de VDI, compartilhamentos de arquivo, armazenamento em nuvem e e-mail para determinar quais diretórios foram enumerados e quais arquivos podem ter sido copiados.
A contenção deve incluir rotação de credenciais da vítima, revisão de tokens de sessão, validação de regras de encaminhamento e auditoria de permissões em pastas sensíveis. Para reduzir recorrência, o help desk precisa operar com verificação de identidade fora de banda, canais oficiais para solicitações de suporte e proibição explícita de instalação de ferramentas remotas por instrução telefônica não validada. Usuários devem ter um caminho simples para interromper chamadas suspeitas e confirmar solicitações com a equipe interna real.
Como a campanha inclui intrusão física em alguns casos, controles administrativos e físicos também são parte da mitigação técnica. A recepção deve validar chamados, crachás, autorização de visita e escopo do atendimento antes de permitir acesso a estáções. O uso de mídia removível deve ser bloqueado ou restrito por política de endpoint, com alertas para conexão de novos dispositivos e cópia em massa. A organização também deve preparar comunicação de incidente, porque o grupo usa pressão direta contra funcionários e clientes externos como parte da extorsão.
- Bloquear ou permitir por lista explícita ferramentas RMM, com registro centralizado de instalação e conexão.
- Revisar sessões de colaboração e VDI associadas a usuários que receberam mensagens ou ligações suspeitas.
- Investigar uso de WinSCP, Rclone, envio externo pelo mailbox e conexão de mídia USB.
- Aplicar verificação fora de banda para qualquer solicitação de suporte remoto ou visita técnica.
- Restringir acesso a pastas de alto valor por necessidade real, com alertas para enumeração e cópia em volume.
- Preparar resposta a extorsão com preservação de evidências, avaliação de dados envolvidos e comunicação coordenada.
0 Comentários