In sintesi
Il Silent Ransom Group sta attivamente prendendo di mira studi legali e aziende di servizi professionali negli Stati Uniti con attacchi di ingegneria sociale che portano al furto di dati sensibili entro ore. Lo rileva un rapporto di Mandiant, che segue un avviso FLASH dell’FBI. Il gruppo, noto anche come UNC3753, Luna Moth e Chatty Spider, ha colpito decine di organizzazioni nei settori legale, finanziario e dei servizi professionali tra gennaio e maggio 2026. Attivo dal 2022, si è spostato dal ransomware all’estorsione tramite furto di dati.
La metodologia d’attacco inizia con email di phishing a tema fattura da account consumer, prelude a chiamate dove gli attaccanti si spacciano per personale IT (tattica “callback phishing”). Inducono a richiamare un numero. Silent Ransom Group impersona help desk IT per convincere i dipendenti a partecipare a sessioni di supporto remoto tramite Microsoft Teams, Zoom, Quick Assist o Microsoft Terminal Services. Le vittime installano strumenti RMM come AnyDesk, Zoho Assist, Bomgar o SuperOps, ottenendo accesso alla rete. Mandiant ha identificato domini di phishing IT (es. <organization>-itdesk[.]com) e l’uso di `privnote.com` per scambiare link, riducendo tracce forensi. Una volta all’interno, il gruppo cerca documenti legali e finanziari sensibili: contratti, registri fiscali, numeri di previdenza sociale, file M&A. Target: piattaforme di gestione documentale e repository cloud, dati esfiltrati via WinSCP o Rclone. L’estorsione è aggressiva: richieste di riscatto entro 30 minuti dall’abbandono dell’ambiente. Le lettere concedono tre giorni per la risposta, minacciando di contattare direttamente dipendenti e clienti esterni per divulgare la violazione. Enfatizzano che la fuga comprometterebbe fiducia, genererebbe “sostanziali multe normative” e azioni legali per “cattiva gestione dei dati”. L’FBI ha anche segnalato possibili attacchi di furto dati di persona.
Questo scenario è di massima rilevanza per chi tratta dati personali e per la compliance. Gli studi legali sono obiettivi di alto valore, custodi di “grandi volumi di informazioni altamente sensibili dei clienti” (piani M&A, segreti commerciali, report normativi). Tali dati espongono le organizzazioni a significativa “esposizione reputazionale e normativa”. Le minacce esplicite di “sostanziali multe normative” e azioni legali per “cattiva gestione dei dati” evidenziano l’impatto sulla compliance con GDPR e altre leggi sulla protezione dei dati. La pressione a risolvere gli incidenti “silenziosamente” rivela il conflitto tra reputazione e obblighi di trasparenza.
Per mitigare il rischio, PL Consulting raccomanda un approccio multistrato:
- Sensibilizzazione e Formazione: Educare il personale su ingegneria sociale e phishing, inclusa la verifica di richieste IT non sollecitate.
- Protocolli di Verifica Rigorosi: Implementare procedure stringenti per autenticare richieste di supporto remoto e identità IT (canali ufficiali, MFA).
- Monitoraggio e Controlli Tecnici: Adottare sistemi per rilevare installazioni RMM non autorizzate, accessi sospetti e tentativi di esfiltrazione dati.
- Piani di Risposta agli Incidenti: Sviluppare, testare e aggiornare piani rapidi, includendo notifiche alle autorità e procedure di contenimento/recupero.
- Rafforzamento della Sicurezza: Valutazioni periodiche della postura di sicurezza, con focus su protezione endpoint, segmentazione rete e sicurezza dati sensibili.