O que é o Silent Ransom Group e como está a atacar os escritórios de advocacia?

O Silent Ransom Group (SRG) é um agente de ameaça que personifica fisicamente funcionários de TI em escritórios de advocacia para obter acesso a dispositivos do escritório, roubar dados sensíveis e depois extorquir as organizações.

Como é que os atacantes obtêm acesso físico aos computadores de um escritório de advocacia?

Primeiro investigam o pessoal e os fluxos de trabalho de TI da firma, depois aparecem pessoalmente fazendo-se passar por técnicos de TI ou prestadores de serviços de suporte, usando confiança e familiaridade para convencer os funcionários a conceder-lhes acesso.

Porque é que os escritórios de advocacia são particularmente vulneráveis a este tipo de ataque?

Os escritórios de advocacia detêm grandes quantidades de dados de clientes privilegiados e confidenciais e operam numa cultura de confiança, o que torna os funcionários mais propensos a conceder acesso a alguém que parece ser um representante oficial de TI.

Porque é que as VPNs e a segmentação de rede não conseguem prevenir estes ataques de personificação?

Estas defesas apenas gerem o tráfego remoto e os perímetros da rede; um atacante que esteja fisicamente sentado num computador com sessão iniciada dentro do escritório contorna-as completamente.

O que fazem os atacantes depois de roubarem os dados?

Emitem exigências de extorsão, ameaçando publicar ou vender a informação roubada se o pagamento não for efetuado.

FBI alerta que o Grupo Silent Ransom está a personificar fisicamente funcionários de TI em escritórios de advocacia

O FBI emitiu um alerta formal avisando que um agente de ameaça conhecido como Silent Ransom Group (SRG) está a atacar escritórios de advocacia através de uma combinação de engenharia social e ataques de personificação física. Ao contrário da maioria dos ciberataques que têm origem em locais remotos, os operacionais do SRG aparecem pessoalmente, fazendo-se passar por funcionários do suporte de TI, obtendo acesso físico aos dispositivos do escritório, roubando dados sensíveis e extorquindo depois as organizações. Para os profissionais do direito que assumem que as suas defesas digitais são suficientes, este alerta representa um sério toque de alerta.

Como o Silent Ransom Group obtém acesso físico às redes dos escritórios de advocacia

O método de abordagem do SRG é simples, mas altamente eficaz. Os atacantes fazem um reconhecimento do escritório de advocacia alvo, identificando o pessoal, as localizações dos escritórios e os fluxos de trabalho de TI. Depois, apresentam-se fisicamente no local, personificando técnicos de TI ou prestadores de serviços de suporte. Projetando confiança e familiaridade com o ambiente da firma, convencem os funcionários a conceder-lhes acesso a computadores, servidores ou outros dispositivos ligados à rede.

Uma vez lá dentro, o grupo extrai dados diretamente das máquinas a que conseguem aceder fisicamente. Estes podem incluir ficheiros de clientes, documentação de processos, registos financeiros ou comunicações privilegiadas. Após a exfiltração, as vítimas recebem exigências de extorsão, com a ameaça de publicar ou vender a informação roubada se o pagamento não for efetuado.

Os escritórios de advocacia são um alvo particularmente atrativo neste modelo. Detêm enormes volumes de dados de clientes sensíveis, privilegiados e frequentemente confidenciais. São também, historicamente, instituições construídas com base na confiança e nas relações profissionais, o que torna os funcionários mais propensos a estender cortesias a alguém que parece estar presente numa capacidade oficial.

Porque é que as VPNs e a segmentação de rede não detêm alguém que já está dentro da sala

A maioria das conversas sobre cibersegurança centra-se em ameaças remotas: e-mails de phishing, preenchimento de credenciais, ransomware distribuído através de ligações maliciosas. As ferramentas normalmente utilizadas em resposta, incluindo VPNs, firewalls e segmentação de rede, são concebidas para controlar o tráfego que entra e sai de um sistema através da internet. São, em grande parte, irrelevantes quando um atacante está sentado numa estação de trabalho dentro do edifício.

Os ataques de personificação física que os escritórios de advocacia enfrentam de grupos como o SRG contornam todas as camadas de defesa baseadas na rede. Se alguém ocupa um lugar num computador já autenticado, a autenticação multifator já foi ultrapassada. Se ligar uma pen USB ou aceder a uma pasta partilhada na rede local, os túneis encriptados entre utilizadores remotos não significam nada. A segmentação da rede pode limitar o movimento lateral até certo ponto, mas não impede o acesso àquilo que já está acessível a partir do dispositivo que está a ser utilizado.

Este é o problema central de tratar a cibersegurança como uma disciplina puramente técnica. O comportamento humano e os ambientes físicos criam superfícies de ataque que nenhum produto de software aborda completamente. O mesmo princípio aplica-se a ameaças internas e ao uso indevido de credenciais, como se viu em casos em que os controlos de acesso são contornados não por hacking sofisticado, mas por simples erro humano ou negligência, um padrão explorado na cobertura de um contratante da CISA que expôs chaves AWS e palavras-passe num repositório público do GitHub.

Zero-Trust e controlos de segurança física que realmente mitigam esta ameaça

A arquitetura de confiança zero é frequentemente discutida no contexto do acesso remoto, mas o seu princípio fundamental aplica-se diretamente aqui: nunca assumir que uma pessoa ou dispositivo deve ter acesso apenas porque parece estar no sítio certo. Para ambientes físicos, isto traduz-se em algumas práticas concretas.

Em primeiro lugar, os processos de verificação de visitantes e fornecedores devem ser formalizados e aplicados de forma consistente. Qualquer pessoa que afirme ser do suporte de TI deve ser verificada através de um canal independente antes de lhe ser concedido acesso não supervisionado a qualquer dispositivo. Isto significa telefonar diretamente para o departamento de TI, não utilizando um número fornecido pelo visitante, e confirmar que a visita foi agendada.

Em segundo lugar, as estações de trabalho e os dispositivos devem exigir uma nova autenticação após qualquer período de inatividade e, idealmente, não devem permanecer com sessão iniciada em sistemas sensíveis quando não estão a ser vigiados. Bloqueadores de portas físicas ou de USB podem impedir transferências de dados não autorizadas de dispositivos acedidos sem autorização.

Em terceiro lugar, o registo de acessos ao nível do dispositivo é importante. Se uma pessoa não autorizada conseguir aceder, os rastos forenses ajudam a identificar o que foi levado e a limitar o âmbito de uma eventual reclamação de extorsão.

Finalmente, a formação do pessoal precisa de abordar explicitamente cenários de engenharia social física, não apenas e-mails de phishing. Os funcionários dos escritórios de advocacia, em particular o pessoal da receção, devem saber que a delicadeza e a deferência perante uma aparente autoridade são exatamente os traços que os atacantes exploram.

O que isto significa para si: passos acionáveis para profissionais em setores sensíveis

Se trabalha na área do direito, finanças, saúde ou qualquer outro setor que lide com informações privilegiadas ou regulamentadas, o alerta do SRG deve motivar uma revisão da sua postura de segurança, tanto digital como física. Eis por onde começar:

Auditar os protocolos de acesso de visitantes. A sua organização tem um processo formal para verificar visitas de TI não programadas? Se a resposta for não ou não for clara, essa lacuna precisa de ser colmatada imediatamente.
Rever as políticas de bloqueio de dispositivos e de autenticação. Os dispositivos que se bloqueiam automaticamente após inatividade e exigem credenciais para serem retomados reduzem significativamente a janela de oportunidade para um atacante físico.
Formar o pessoal sobre engenharia social física. Faça simulações com a sua equipa em que alguém se faz passar por um fornecedor ou técnico de TI. Pratique o hábito de verificar antes de conceder acesso.
Avaliar o seu modelo de acesso a dados. Aplique os princípios do menor privilégio para que, mesmo que uma estação de trabalho seja comprometida, o atacante não consiga aceder a dados para além daqueles que essa conta de utilizador específica normalmente trata.
Verificar também as suas políticas de acesso remoto. A segurança física e os controlos de acesso digital funcionam em conjunto. Rever um sem o outro deixa lacunas.

O alerta do FBI sobre o Silent Ransom Group é um lembrete de que uma segurança eficaz exige pensar nas ameaças em três dimensões: a rede, o dispositivo e a sala. Para os profissionais em setores sensíveis, este é o momento de avaliar se os seus protocolos atuais conseguiriam realmente deter alguém que entra pela porta da frente parecendo fazer parte da casa.